Se trovo una vulnerabilità di Microsoft, ottengo credito per aver segnalato direttamente a Microsoft?

2

So che se scopri una vulnerabilità in un prodotto open source hai la possibilità di risolverlo da solo, creando una segnalazione di bug o altri metodi per provare che hai contribuito a Internet (leggi la società se vuoi) come intero in qualche modo.

Se ho trovato una vulnerabilità e la invio a Microsoft (e l'hanno riconosciuta come tale) c'è un modo simile per dimostrare di aver effettivamente fornito informazioni. In tal caso, qual è questo metodo: Email / link sul sito di Microsoft / lettera di bravo ragazzo.

Per evitare che questa domanda diventi una discussione (e si chiuda immediatamente), limita le tue risposte ai seguenti criteri:

  • Si prega di assumere la divulgazione responsabile come definito: C'è uno "standard" per segnalare vulnerabilità di sicurezza che possiamo usare? usando la risposta di @void_in
  • Per favore non discussioni etiche (mentre importante, non sto chiedendo qui)
  • Se ti aiuta a inquadrare la domanda, questo sarebbe in relazione alla prova per un curriculum / CV
  • Il tempismo non è un problema. Suppongo che non succederà nulla fino ad almeno un aggiornamento di patch di martedì
posta DarkSheep 18.10.2013 - 02:56
fonte

1 risposta

6

Sì! La politica di Microsoft sembra essere che se si denuncia la vulnerabilità a loro responsabilmente, si riceverà una menzione nei riconoscimenti sezione dei bollettini sulla sicurezza . Mi aspetterei anche una corrispondenza avanti e indietro sul problema che potresti conservare come ulteriore prova.

When you see a security professional acknowledged in a Microsoft Security Bulletin, it means that they reported the vulnerability to us confidentially, worked with us to develop the patch, and helped us disseminate information about it once the threat was eliminated. They minimized the threat to customers everywhere by ensuring that Microsoft could fix the problem before malicious users even knew it existed.

La sezione dei riconoscimenti include davvero molti dettagli, nominando individui e organizzazioni. Ad esempio, il bollettino di ottobre 2013 menziona (tra gli altri):

  • [email protected], che collabora con Zero Day Initiative di HP, per aver segnalato la vulnerabilità legata al danneggiamento della memoria in Internet Explorer (CVE-2013-3872)

Sarebbe sicuramente molto bello sul tuo CV!

    
risposta data 18.10.2013 - 03:52
fonte

Leggi altre domande sui tag