15 июля 2013 г.

Прошло меньше месяца после того, как Microsoft объявила о выплате денежных премий за уязвимости, обнаруженные в ее ПО, и вот выплачивается первая такая премия специалисту по ИБ, который обнаружил дефект в последней версии Internet Explorer.

Microsoft проверила и подтвердила дефект в своем браузере Internet Explorer 11 Preview Edition, сообщает в блоге Кейти Муссурис, старший менеджер по стратегии ИБ Центра обратной связи Microsoft (Security Response Center). Объявляя о выплате вознаграждения, она добавила также, что подтверждены и другие дефекты, о которых сообщили специалисты, и компания уведомит их о вознаграждении в ближайшие несколько недель.

«Сообщество ИТ-безопасности с энтузиазмом ответило на наши новые программы отлова багов, представив нам для изучения более дюжины проблем лишь в первые две недели после ввода этих программ», - пишет Муссурис в блоге конкурса BlueHat.

Первый награжденный - специалист по ИБ Айван Фретрик (Ivan Fratric). Компания уже уведомила Фретрика, что его сообщение о дефекте - нарушении целостности информации в памяти - первое, по которому будет выплачено вознаграждение в рамках новой программы, и поздравила его на Twitter’е. Фретрик не ответил на запрос CRN в четверг.

Айван Фретрик был также вторым победителем в конкурсе Microsoft на конференции Black Hat в прошлом году. Он получил тогда 50 тыс. долл. за создание системы ROPGuard, которая может обнаруживать и предотвращать атаки типа Return Oriented Programming во время исполнения ПО.

Microsoft представила свою программу отлова багов 19 июня, что обозначило значительную перемену в ее подходе к этим вопросам. (Аналогичные программы давно предложены другими вендорами ПО.)

Эксперты по ИБ считают, что программа вознаграждений вряд ли как-то изменит сложившийся график ежемесячного выпуска заплат. Марк Мейффрет, директор по технологии компании BeyondTrust, говорит, что новая программа Microsoft скромнее по объему, чем другие, нацеленные на ознакомительные версии ее ПО.

«Она и близко не подходит к стандартным программам отлова багов, которые действуют в данный момент, - сказал Мейффрет. - Здесь главное - будущее ПО: каким оно будет выпущено, прежде чем попадет в руки пользователей».

Программа по Internet Explorer 11 - одна из трех, по которым Microsoft выплачивает вознаграждения за обнаруженные дефекты. Премия составляет до 11 тыс. долл. за критичные уязвимости, влияющие на выполнение Internet Explorer 11 Preview на платформе Windows 8.1 Preview, новейшей версии ее ОС.

Microsoft готова также выплатить до 100 тыс. долл. в рамках программы Mitigation Bypass Bounty за методы обхода средств защиты, встроенных в Windows 8.1 Preview. Наконец, по программе BlueHat Bonus for Defense компания выплатит до 50 тыс. долл. за новые идеи, которые обеспечат нейтрализацию сообщенных методов обхода защиты.

© 2013. The Channel Company LLC. Initially published on CRN.com, a The Channel Company website, at https://www.crn.com. Reprinted with permission.

Источник: Роберт Уэстервельт, CRN/США