Браузер Edge стал неотъемлемой частью «баг-баунти» Microsoft

Вчера Microsoft объявила о расширении программы охоты за багами. Теперь искать неисправности за деньги можно не только в Windows, Office и Azure, но и в браузере Edge, который раньше участвовал в программе лишь ограниченный период времени.

Немного истории

Microsoft впервые добавила Edge в программу в апреле 2015 года, за два месяца до того, как компания запустила браузер в составе Windows 10. В то время Edge был известен как Project Spartan, и Microsoft искала специалистов по безопасности для тестирования критических уязвимостей. За выявление такого рода угроз компания выплачивала вознаграждение до 15 000 долларов.

С выходом Windows 10 программа по выявлению багов в Edge была закрыта. Как оказалось, Microsoft поспешила, поскольку браузер подвергся атакам злоумышленников через различные наборы эксплойтов. В связи с этим в августе 2016 года он был включён в программу повторно и находился там до мая этого года.

Охота оказалась удачной

По словам Акилы Шринивасан, члена Microsoft Security Response Center, второй «сезон охоты» привел к значительным улучшениям в безопасности Edge. Она сообщила, что компания выплатила более 200 тысяч долларов в виде вознаграждений за обнаруженные уязвимости.

Убедившись в эффективности программы, Microsoft включила Edge в основной список участников баг-баунти, что позволяет исследователям находить ошибки и присылать по ним отчеты в любое время. Ниже приведены некоторые условия участия в программе, более подробные правила можно найти на сайте Microsoft:

• обнаружение любой RCE-уязвимости или ошибки в пользовательском интерфейсе, ставящей под угрозу конфиденциальность и безопасность пользователя, вознаграждается;
• выплаты по программе варьируются от 500 до 15 000 долларов;
• если исследователь сообщает об ошибке, уже обнаруженной компанией Microsoft, то вознаграждение составляет максимум 1500 долларов и выплачивается первому нашедшему;
• уязвимости должны присутствовать в последней сборке Windows Insider Preview.