本記事は、Microsoft Security Response Center (MSRC) のブログ “Update to the Microsoft Edge Web Platform on Windows Insider Preview Bug Bounty Program terms” (2016 年 9 月 28 日米国時間公開) を翻訳した記事です。
2016 年 8 月 4 日に Windows Insider Preview Slow (WIP Slow) 上の Microsoft Edge のリモートでのコード実行 (RCE) の脆弱性に関する報奨金プログラムを開始しました。本日、この報奨金プログラムへの追加事項をお知らせします。セキュリティとは継続的に取り組むものであり目的地ではないため、マイクロソフトは異なる時点で異なる種類の脆弱性を把握することを優先しています。現在、重要なユーザー データのプライバシーおよび完全性を侵害する W3C 標準 への違反と、リモートでコードが実行される脆弱性に焦点を合わせています。本プログラムの対象や条件には、現在以下が含まれます。
- 同一生成元ポリシーをバイパスする脆弱性 (例: UXSS)
- 参照元のなりすましの脆弱性
- Windows Insider Preview 上の Microsoft Edge におけるリモートでコードが実行される脆弱性
- Chakra のオープン ソース セクションに存在する脆弱性
- 報奨金プログラムの実施期間は 2016 年 8 月 4 日 から 2017 年 5 月 15 日 (米国時間) までで、UXSS および参照元のなりすましに関する脆弱性で 8 月 4 日以降に secure@microsoft.com に報告されたものについては遡って対象とする
- 報奨金の支払い額の範囲は 500 米ドルから 15,000 米ドル
- もし研究者が、条件を満たす脆弱性で既にマイクロソフト内部で発見されたものを報告した場合、最初の発見者に対して最大 1,500 米ドルを支払う
- 脆弱性は、最新の Windows Insider Preview (Slow track) で再現可能でなければならない
- マイクロソフトはすべてのセキュリティ関連のバグを重要視しています。Microsoft Edge ブラウザーで発見したセキュリティ関連のバグは、すべて secure@microsoft.com までお知らせください
Insider Preview に含まれる Windows の新しい機能に関する最新の情報については、Windows 10 Insider Program Blog (英語情報) を参照してください。
マイクロソフト報奨金プログラムの最新情報は、こちら (英語情報) の Web サイトおよび関連規約や FAQ を参照してください。
Akila Srinivasan 、Crispin Cowan