<p>微軟正在全面改革其漏洞賞金計劃，以獎勵發現其所有產品和服務中漏洞的安全研究人員，即使這些產品和服務沒有建立賞金計劃。</p>
<p>微軟安全響應中心（MSRC）工程副總裁湯姆·加拉赫（Tom Gallagher）在昨天的黑帽歐洲大會上表示，該公司將採用所謂的 “默認在範圍內” 方法。</p>
<p>在新模型下，MSRC 將向報告對微軟在線服務產生明顯影響的關鍵漏洞的研究人員支付獎勵。</p>
<p>加拉赫表示：“無論代碼是由微軟擁有和管理，還是由第三方擁有，或是開源的，我們都會盡一切努力來修復問題。我們的目標是激勵對最高風險領域的研究，特別是那些威脅行為者最有可能利用的領域。”</p>
<p>他告訴《註冊》雜誌，同一類漏洞及其嚴重性在第三方代碼庫中所獲得的貨幣獎勵將與在微軟產品中發現的相同。</p>
<p>“在沒有賞金計劃的地方，我們將認可並獎勵安全研究社區的多樣化見解，無論他們的專業知識帶他們去哪裏。這包括微軟擁有和管理的領域和企業基礎設施。”</p>
<p>這一舉措代表了 MSRC 在漏洞賞金方面的轉變，以前的賞金計劃在什麼類型的漏洞值得獎勵以及哪些產品或服務符合條件方面是有規定的。</p>
<p>加拉赫表示，這種 “默認在範圍內” 的方法意味着即使是新產品和服務也會受到賞金的覆蓋，包括那些在推出時沒有專門計劃的產品和服務。</p>
<p>“轉向 ‘默認在範圍內’ 的賞金模型旨在加強我們的安全態勢，以應對不斷演變的威脅環境，特別是在雲和人工智能領域。”</p>
<ul>
<li>英國終於承諾審查 35 年前的計算機濫用法</li>
<li>研究人員聲稱發現 “有史以來最大泄漏”，揭露 WhatsApp 枚舉漏洞</li>
<li>微軟 365 Copilot 中的 Sneaky Mermaid 攻擊竊取數據</li>
<li>谷歌宣佈 AI 漏洞狩獵季節開啓，設定最高獎勵為 3 萬美元</li>
</ul>
<p>微軟表示，去年通過其漏洞賞金計劃和零日競賽向研究人員支付了超過 1700 萬美元的獎勵，並預計將增加支出。</p>
<p>微軟在 2013 年遲遲推出其漏洞賞金計劃，此前多年來拒絕了啓動該計劃的壓力——首席賞金遊説者凱蒂·穆索里斯（Katie Moussouris）將這一過程形容為 “煮青蛙”。</p>
<p>雖然許多研究人員自那時以來從微軟的漏洞賞金計劃中獲得了經濟利益，但那些不那麼幸運的人的常見抱怨包括響應時間緩慢和可疑的分類結論。</p>
<p>一些感到沮喪的專家也不遺餘力地向 MSRC 表達他們對提交過程的看法。®</p>

2 倍做多 MSFT ETF - GraniteShares

MSFO

微軟每日 1 倍做空 ETF - Direxion

微軟每日 2 倍做多 ETF - Direxion

MSFX

MSFY

<p>微軟正在重塑其漏洞賞金計劃，以獎勵研究人員發現所有產品中的漏洞，即使沒有既定的賞金方案。採用 “默認在範圍內” 的方法將激勵對高風險領域的研究，為影響微軟服務的關鍵漏洞提供金錢獎勵。這一轉變旨在增強安全性，以應對不斷變化的威脅，涵蓋包括雲和人工智能在內的新產品和服務。微軟去年支付了超過 1700 萬美元的獎勵，並計劃增加支出</p>

<p>Microsoft is overhauling its bug bounty program to reward exploit hunters for finding vulnerabilities across all its products and services, even those without established bounty schemes.</p>
<div class="lb-trans"><p>微軟正在全面改革其漏洞賞金計劃，以獎勵發現其所有產品和服務中漏洞的安全研究人員，即使這些產品和服務沒有建立賞金計劃。</p>
</div><p>Tom Gallagher, VP of engineering at Microsoft Security Response Center (MSRC), told Black Hat Europe delegates yesterday that the company will adopt what it calls an &#34;in scope by default&#34; approach.</p>
<div class="lb-trans"><p>微軟安全響應中心（MSRC）工程副總裁湯姆·加拉赫（Tom Gallagher）在昨天的黑帽歐洲大會上表示，該公司將採用所謂的 “默認在範圍內” 方法。</p>
</div><p>Under the new model, MSRC will pay researchers who report critical vulnerabilities that have a demonstrable impact on Microsoft's online services.</p>
<div class="lb-trans"><p>在新模型下，MSRC 將向報告對微軟在線服務產生明顯影響的關鍵漏洞的研究人員支付獎勵。</p>
</div><p>&#34;Regardless of whether the code is owned and managed by Microsoft, a third party, or is open source, we will do whatever it takes to remediate the issue,&#34; Gallagher said. &#34;Our goal is to incentivize research on the highest risk areas, especially the areas that threat actors are most likely to exploit.&#34;</p>
<div class="lb-trans"><p>加拉赫表示：“無論代碼是由微軟擁有和管理，還是由第三方擁有，或是開源的，我們都會盡一切努力來修復問題。我們的目標是激勵對最高風險領域的研究，特別是那些威脅行為者最有可能利用的領域。”</p>
</div><p>The same class of vulnerability, and its severity, will attract the same monetary award in a third-party codebase as it would if it were found in one of Microsoft's products, he told <em>The Register</em>.</p>
<div class="lb-trans"><p>他告訴《註冊》雜誌，同一類漏洞及其嚴重性在第三方代碼庫中所獲得的貨幣獎勵將與在微軟產品中發現的相同。</p>
</div><p>&#34;Where no bounty programs exist, we will recognize and award the diverse insights of the security research community wherever their expertise takes them. This includes domains and corporate infrastructure that are owned and managed by Microsoft.&#34;</p>
<div class="lb-trans"><p>“在沒有賞金計劃的地方，我們將認可並獎勵安全研究社區的多樣化見解，無論他們的專業知識帶他們去哪裏。這包括微軟擁有和管理的領域和企業基礎設施。”</p>
</div><p>The move represents a shift in MSRC's bug bounties, which in the past have been prescriptive in terms of what type of bug warrants an award, and what products or services are eligible.</p>
<div class="lb-trans"><p>這一舉措代表了 MSRC 在漏洞賞金方面的轉變，以前的賞金計劃在什麼類型的漏洞值得獎勵以及哪些產品或服務符合條件方面是有規定的。</p>
</div><p>Gallagher said this &#34;in scope by default&#34; approach means that even new products and services are covered by buy bounties, including those without a dedicated program assigned to them at launch.</p>
<div class="lb-trans"><p>加拉赫表示，這種 “默認在範圍內” 的方法意味着即使是新產品和服務也會受到賞金的覆蓋，包括那些在推出時沒有專門計劃的產品和服務。</p>
</div><p>&#34;The shift to an 'in scope by default' bounty model aims to strengthen our security posture amid an evolving threat landscape, especially across cloud and AI.&#34;</p>
<div class="lb-trans"><p>“轉向 ‘默認在範圍內’ 的賞金模型旨在加強我們的安全態勢，以應對不斷演變的威脅環境，特別是在雲和人工智能領域。”</p>
</div><ul>
<li>UK finally vows to look at 35-year-old Computer Misuse Act</li>
<li>Researchers claim 'largest leak ever' after uncovering WhatsApp enumeration flaw</li>
<li>Sneaky Mermaid attack in Microsoft 365 Copilot steals data</li>
<li>Google declares AI bug hunting season open, sets a $30K max reward</li>
</ul>
<div class="lb-trans"><ul>
<li>英國終於承諾審查 35 年前的計算機濫用法</li>
<li>研究人員聲稱發現 “有史以來最大泄漏”，揭露 WhatsApp 枚舉漏洞</li>
<li>微軟 365 Copilot 中的 Sneaky Mermaid 攻擊竊取數據</li>
<li>谷歌宣佈 AI 漏洞狩獵季節開啓，設定最高獎勵為 3 萬美元</li>
</ul>
</div><p>Microsoft says it paid more than $17 million in awards to researchers last year through its bug bounty program and Zero Day Quest competition, and expects to increase spending.</p>
<div class="lb-trans"><p>微軟表示，去年通過其漏洞賞金計劃和零日競賽向研究人員支付了超過 1700 萬美元的獎勵，並預計將增加支出。</p>
</div><p>Belatedly, Microsoft launched its bug bounty program in 2013 after rejecting pressure to start one for years – a process head bounty lobbyist Katie Moussouris described as being like &#34;boiling a frog.&#34;</p>
<div class="lb-trans"><p>微軟在 2013 年遲遲推出其漏洞賞金計劃，此前多年來拒絕了啓動該計劃的壓力——首席賞金遊説者凱蒂·穆索里斯（Katie Moussouris）將這一過程形容為 “煮青蛙”。</p>
</div><p>While many researchers have financially benefited from Microsoft's bug bounty program since then, common gripes reported by those who aren't so lucky include slow response times and questionable triage conclusions.</p>
<div class="lb-trans"><p>雖然許多研究人員自那時以來從微軟的漏洞賞金計劃中獲得了經濟利益，但那些不那麼幸運的人的常見抱怨包括響應時間緩慢和可疑的分類結論。</p>
</div><p>Some frustrated experts have also gone to great lengths to make their feelings about the submission process known to MSRC. ®</p>
<div class="lb-trans"><p>一些感到沮喪的專家也不遺餘力地向 MSRC 表達他們對提交過程的看法。®</p>
</div>

微軟承諾將提供更多的漏洞獎勵，無論是否存在賞金計劃