ピックワールド(PIC World)

インフォメーション

この記事は 2015年05月08日 に以下のカテゴリに投稿されました Software.

この記事のタグ

, , , , , ,


Project Spartan Bug Bounty Program Terms

マイクロソフトが、プロジェクトスパルタン(Edge)のバグを見つけると、賞金を出すよ!ってプログラムを展開しています。

Project Spartan(Edge)

Project Spartan(Edge)

気になる賞金は、見つけたバグの重要度に合わせて、$500~$15,000 とか。

結構な金額を出すんですねぇ。

まぁこれは、大きなプログラムになっているはずだし、用途としても、ものすごく広く使われるであろう事から、少しでも多くの方に、見つけ出して欲しいという意味であると思います。

ざっくり上記で、賞金の範囲について書きましたが、細かくそのレベルも規定がされていますね。

例えば、

Vulnerability typeProof of conceptFunctioning exploitReportPayout range
Remote Code Execution in Project SpartanrequiredrequiredHigh QualityUp to $15,000 USD*
requiredNoHigh QualityUp to $6,000 USD*
requiredNoLow QualityUp to $1,500 USD*
Sandbox Escape Vulnerability with Enhanced Protected Mode or in Project SpartanrequiredrequiredHigh QualityUp to $15,000 USD*
requiredNoHigh QualityUp to $6,000 USD*
requiredNoLow QualityUp to $1,500 USD*
Important or Higher Severity Vulnerability in Project Spartan or EdgeHTML.dllrequiredOptionalHigh QualityUp to $6,000 USD*
requiredNoLow QualityUp to $1,500 USD*
ASLR Info Disclosure Vulnerability in Project Spartan or EdgeHTML.dllrequiredn/an/a$500 USD*

英語のままなので、ざっくりと説明すると、リモートコード実行、サンドボックス回避の脆弱性、重要度の高い脆弱性、ASLR の情報開示に関する脆弱性の4種類に分類され、見つけたバグを報告するにはその原因と、再現性を提示する必要があるとの事です。(そりゃそうだ)

リモートコード実行、サンドボックス回避の脆弱性のバグを見つければ、賞金の最高額が約 180万円~約 18万円で、他の、重要度の高い脆弱性は、最高額が約 72万円、ASLR に関する脆弱性は一律約 6万円となっています。

一応、1台動かしてはいるけれども、それなりに動いてはいるけれど、ハードの問題で、パフォーマンスが低いので、ちょっとここまでは出来ないなぁ。

いいマシンで動かしている方は、触りながら、いろいろ試してみると良いとは思いますが、バグ出しって、結構大変なんですよ~

本件に関しての記述は、マイクロソフトの Security Tech Center の Project Spartan Bug Bounty Program Terms のページにあります。

バグの報告は、2015年6月22日となっているので、この後どれくらいで、RTM -> FCS となるのか・・近いような気がします。

投稿者のプロフィール

minorus
minorus
電子機器が大好きです。
プログラムを書くのをお仕事としていたこともあるので、両方できる PIC や Arduino を使って、いろいろな(役にあんまり立たない)ものを作っています。
実は UNIX 関連のお仕事も長かったので、Raspberry Pi もお手の物なのですけれど、これから触る機会が多くなるのかなぁ。
ボチボチ行きますが、お付き合いください。
若いころの写真なので、現時点では、まだ髪の毛は黒くてありますが、お髭は真っ白になりました。
愛車の国鉄特急カラーのカスタムしたリトルカブで、時々、秋月電子通商の八潮店に出没します。

コメントを残す

最近の投稿

最近のコメント

アーカイブ