Microsoft podał szczegóły programu nagradzania znalazców luk w nowym Edge’u

Maciej Olanicki, 26.08.2019 r.

Choć nie ma jeszcze pewności, kiedy nowy oparty na Chromium Edge zawita do stabilnego wydania Windowsa 10, to nie ma wątpliwości, że prace nad przeglądarką są już na zaawansowanym etapie. W ostatnim czasie uruchomiono nowy kanał wersji testowych, przez co każdy może już korzystać z wersji beta, która w opinii Microsoftu nadaje się do codziennego użytkowania. Zapowiedziany został także program bug bounty, o którym wiadomo już nieco więcej.

Microsoft Edge Insider Bounty Program – znamy szczegóły

Kolejny program bug bounty Microsoftu ma na celu uszczelnienie nowej domyślnej przeglądarki Windowsa 10. Co ważne, nie stanowi on prób dublowania już istniejącego i prowadzonego przez Google programu bug bounty dla Chrome’a. Microsoft chce natomiast przyznawać nagrody za znalezienie luk w kodzie, który sam dopisał do Chromium. Podatności, które uda się odtworzyć na gruncie Google Chrome nie będą nagradzane przez producenta Windowsa.

Dziś znamy już szczegóły Microsoft Edge Insider Bounty Program. Podstawowym warunkiem jest udana próba odtworzenia ataku na najnowszej (w momencie zgłoszenia) wersji Microsoft Edge działającego na zaktualizowanym do najnowszej wersji Windowsie 7/8.1/10 lub macOS-ie. W zgłoszeniu należy także zawrzeć informację o wersji Chrome’a, na którym udało się potwierdzić, że luka bezpieczeństwa tkwi wyłącznie w nowym Edge’u.

Nawet 30 tys. dolarów za opuszczenie piaskownicy

Podstawą jest dostarczenie Microsoftowi dowodu koncepcji exploita. Sama korporacja wskazuje autorskie komponenty, które mogą być „dobrym miejscem do rozpoczęcia poszukiwań”. Jest to tryb Internet Explorera w Edge’u, silnik DRM, mechanizm logowania za pomocą konta Microsoftu i Azure Active Directory, a w końcu Application Guard, czyli komponent integrujący przeglądarkę z Windows Defenderem i izolujący przeglądarkę od systemu opracyjnego.

W Microsoft Edge Insider Bounty Program zarobić można od 1 tys. do 30 tys. dolarów. Kwotą do 6 tys. dolarów Microsoft nagrodzi znaleziony sposoby na spoofing, do 10 tys. zapłaci zaś za wycieki informacji. Od 5 tys. do 15 tys. będzie można uzyskać za odnalezienie podatności pozwalających na eskalację uprawnień. Maksymalna kwota, jaką będzie można otrzymać w programie, czyli 30 tys. dolarów, trafi do osób, które znajdą sposób na eskalację uprawnień i opuszczenie piaskownicy.

Do dzieła!

Bić jest więc się zatem o co, ale w programie nie brakuje wyłączeń. Microsoft nie zapłaci między innymi za podatności działające wyłącznie na wersjach Edge’a z kanału Canary. Nie dopuszcza się wybiórczego wyłączania funkcji przeglądarki związanych z bezpieczeństwem, program nie obejmuje także funkcji eksperymentalnych dostępnych na karcie edge://flags. Z pozostałymi szczegółami dotyczącymi programu zapoznać można się na stronie MSRC.

Zobacz też: Chrompodobny Edge podczas Build 2019 – czego się dowiedzieliśmy?