微軟懸賞10萬美元 尋找Windows 8.1安全漏洞

多年來,微軟一直拒絕為找出其軟體安全漏洞的研究者們提供金錢獎勵,盡管谷歌和Facebook一直都在逐漸提高所謂「漏洞獎金」專案的獎勵額度。現在這一軟體巨頭突然改變了想法——有時給出的獎金甚至高於後兩家競爭對手。

大陸新聞中心/綜合報導

據國外媒體報導,多年來,微軟一直拒絕為找出其軟體安全漏洞的研究者們提供金錢獎勵,盡管谷歌和Facebook一直都在逐漸提高所謂『漏洞獎金』專案的獎勵額度。現在這一軟體巨頭突然改變了想法——有時給出的獎金甚至高於後兩家競爭對手。

根據環球科技網報導,微軟上周宣布,願意對關於Windows安全漏洞的資訊支付最高10萬美元的獎金,就從本月末即將發布的Windows 8.1預覽版開始。對於能為阻止類似漏洞日後被利用而提供新防禦技術的研究者們,微軟將為每份方案提供價值5萬美元的額外『防禦獎金』。

『發現一個漏洞是極具挑戰性的,他們需要一項新技術。』微軟安全回應中心總監邁克·里維說,『所以要讓人們在這一領域費些腦筋的確需要高額獎金的激勵』。

除了這些10萬和5萬美元的大獎之外,微軟還將為影響IE 11預覽版的漏洞支付1.1萬美元,這項策略是為了在該軟件向消費者廣泛發布前修復漏洞。『(大多數公司)不會設獎尋找測試版軟件的漏洞,所以一些研究者就會守到軟體發布投產時才將漏洞公布。』微軟高級安全分析師凱蒂·牟索利斯在一篇關於漏洞獎金專案的博客文章中寫道,『對於我們及我們的客戶來說,這些漏洞總是發現得越早越好』。

與微軟相比,谷歌對發現其網路應用中的漏洞僅提供了2萬美元的獎金,盡管該搜索公司的確曾在今(2012)年1月的一次大賽中對Chrome作業系統中的一個漏洞重獎15萬美元,並在前一年為Chrome瀏覽器中的漏洞支付了6萬美元。Mozilla公司為其軟件漏洞提供了3000美元獎金。Facebook提供的最低獎勵為500美元,但是沒有明確其上限。

那麼微軟為什麼現在才開始懸賞自己軟件中漏洞呢?里維表示,微軟一直通過第三方漏洞購買專案獲得越來越多的漏洞報告,這些專案包括惠普旗下的『零時差計劃』(Zero Day Initiative)和威瑞信(Verisign)的iDefense——後者購買漏洞的費用高達1萬美元並向軟件供應商報告漏洞。微軟還看到了一些賽事活動的影響,如一年一度的Pwn2Own駭客大賽——駭客們先是找到微軟產品的高級漏洞,然後再揭秘自己的技術,為此有時能獲得6位數的獎勵。

微軟之所以推出該專案,部分誘因也可能是:在由打算利用漏洞開展間諜或犯罪活動的政府以及黑市買家所構成的另一個圈子裡,獎勵破解技術的力度不斷加大。根據去年3月我所做的一次採訪,一個影響Windows系統的有效漏洞能幫駭客從情報或執法機構那裡賺得6萬到12萬美元不等,而一個能透過IE全面攻破一台Windows電腦的漏洞可以賺到高達20萬美元。