Microsoft پاداش کشف باگ‌های .NET را به ۴۰,۰۰۰ دلار افزایش داد

سجاد تیموری 2 هفته پیشآخرین بروزرسانی: مرداد ۱۱, ۱۴۰۴

۰ 0 زمان تقریبی مطالعه 2 دقیقه

Microsoft پاداش کشف باگ‌های .NET را به ۴۰,۰۰۰ دلار افزایش داد

Microsoft برنامه باگ بانتی .NET را گسترش داد و سقف پاداش‌ها را تا ۴۰,۰۰۰ دلار افزایش داد

Microsoft برنامه کشف آسیب‌پذیری‌های .NET خود را گسترش داده و پاداش کشف برخی آسیب‌پذیری‌های .NET و ASP.NET Core را تا سقف ۴۰,۰۰۰ دلار افزایش داده است.

“Madeline Eckert”، مدیر ارشد برنامه در بخش Researcher Incentives and Bounty در Microsoft، اعلام کرد که این تغییرات با هدف بازتاب دقیق‌تر پیچیدگی‌های موجود در فرایند کشف و اکسپلویت آسیب‌پذیری‌های .NET انجام شده‌اند.

او افزود: «ما با افتخار به‌روزرسانی‌های مهمی را در برنامه باگ بانتی .NET اعلام می‌کنیم. این تغییرات دامنه برنامه را گسترش می‌دهند، ساختار جوایز را ساده‌سازی می‌کنند و مشوق‌های قابل توجهی برای پژوهشگران امنیتی فراهم می‌سازند.»

بر اساس تغییرات جدید، برنامه باگ بانتی .NET اکنون تا سقف ۴۰,۰۰۰ دلار برای آسیب‌پذیری‌هایی که بر .NET و ASP.NET Core (شامل Blazor و Aspire) تأثیر می‌گذارند، پاداش پرداخت می‌کند.

از امروز، Microsoft برای آسیب‌پذیری‌های بحرانی از نوع Remote Code Execution و Privilege Escalation تا سقف ۴۰,۰۰۰ دلار، برای موارد بحرانی مربوط به Bypass در مکانیزم‌های امنیتی تا ۳۰,۰۰۰ دلار، و برای آسیب‌پذیری‌های بحرانی از نوع Remote Denial-of-Service تا سقف ۲۰,۰۰۰ دلار پرداخت خواهد کرد.

دامنه پوشش برنامه باگ بانتی .NET نیز گسترش یافته تا شامل موارد بیشتری از آسیب‌پذیری‌های .NET Framework شود. موارد تحت پوشش اکنون عبارتند از:

تمامی نسخه‌های پشتیبانی‌شده از .NET و ASP.NET
فناوری‌های مرتبط نظیر F#
نسخه‌های پشتیبانی‌شده ASP.NET Core برای .NET Framework
قالب‌های ارائه‌شده همراه با نسخه‌های پشتیبانی‌شده از .NET و ASP.NET Core
GitHub Actions در ریپازیتوری‌های .NET و ASP.NET Core

اوایل امسال، Microsoft پاداش کشف آسیب‌پذیری‌های مرتبط با هوش مصنوعی در سرویس‌ها و محصولات Power Platform و Dynamics 365 را تا ۳۰,۰۰۰ دلار افزایش داد.

در ماه فوریه نیز، این شرکت میزان پرداختی برای آسیب‌پذیری‌های امنیتی با شدت متوسط در Microsoft Copilot (AI) را افزایش داد و یک ضریب دوبرابری (۱۰۰٪) برای تمامی جوایز مربوط به Copilot در نظر گرفت تا تحقیقات امنیتی در حوزه هوش مصنوعی را تشویق کند.

همچنین در کنفرانس سالانه Ignite در سال گذشته، Microsoft رویداد “Zero Day Quest” را با تمرکز بر محصولات و پلتفرم‌های ابری و هوش مصنوعی برگزار کرد که مجموع جوایز آن به ۴ میلیون دلار می‌رسید.

این اقدامات بخشی از ابتکار Secure Future Initiative (SFI) محسوب می‌شوند؛ طرحی جامع در سطح سازمانی برای مهندسی امنیت سایبری که در نوامبر ۲۰۲۳ و در پی گزارش انتقادی صادر شده توسط Cyber Safety Review Board وزارت امنیت داخلی ایالات متحده راه‌اندازی شد. در آن گزارش، فرهنگ امنیتی Microsoft «نامناسب و نیازمند بازنگری اساسی» توصیف شده بود.