ピックワールド(PIC World)

インフォメーション

この記事は 2015年05月08日 に以下のカテゴリに投稿されました Software.

この記事のタグ

, , , , , ,


Project Spartan Bug Bounty Program Terms

マイクロソフトが、プロジェクトスパルタン(Edge)のバグを見つけると、賞金を出すよ!ってプログラムを展開しています。

Project Spartan(Edge)

Project Spartan(Edge)

気になる賞金は、見つけたバグの重要度に合わせて、$500~$15,000 とか。

結構な金額を出すんですねぇ。

まぁこれは、大きなプログラムになっているはずだし、用途としても、ものすごく広く使われるであろう事から、少しでも多くの方に、見つけ出して欲しいという意味であると思います。

ざっくり上記で、賞金の範囲について書きましたが、細かくそのレベルも規定がされていますね。

例えば、

Vulnerability typeProof of conceptFunctioning exploitReportPayout range
Remote Code Execution in Project SpartanrequiredrequiredHigh QualityUp to $15,000 USD*
requiredNoHigh QualityUp to $6,000 USD*
requiredNoLow QualityUp to $1,500 USD*
Sandbox Escape Vulnerability with Enhanced Protected Mode or in Project SpartanrequiredrequiredHigh QualityUp to $15,000 USD*
requiredNoHigh QualityUp to $6,000 USD*
requiredNoLow QualityUp to $1,500 USD*
Important or Higher Severity Vulnerability in Project Spartan or EdgeHTML.dllrequiredOptionalHigh QualityUp to $6,000 USD*
requiredNoLow QualityUp to $1,500 USD*
ASLR Info Disclosure Vulnerability in Project Spartan or EdgeHTML.dllrequiredn/an/a$500 USD*

英語のままなので、ざっくりと説明すると、リモートコード実行、サンドボックス回避の脆弱性、重要度の高い脆弱性、ASLR の情報開示に関する脆弱性の4種類に分類され、見つけたバグを報告するにはその原因と、再現性を提示する必要があるとの事です。(そりゃそうだ)

リモートコード実行、サンドボックス回避の脆弱性のバグを見つければ、賞金の最高額が約 180万円~約 18万円で、他の、重要度の高い脆弱性は、最高額が約 72万円、ASLR に関する脆弱性は一律約 6万円となっています。

一応、1台動かしてはいるけれども、それなりに動いてはいるけれど、ハードの問題で、パフォーマンスが低いので、ちょっとここまでは出来ないなぁ。

いいマシンで動かしている方は、触りながら、いろいろ試してみると良いとは思いますが、バグ出しって、結構大変なんですよ~

本件に関しての記述は、マイクロソフトの Security Tech Center の Project Spartan Bug Bounty Program Terms のページにあります。

バグの報告は、2015年6月22日となっているので、この後どれくらいで、RTM -> FCS となるのか・・近いような気がします。


コメントを残す

最近の投稿

最近のコメント

アーカイブ