微软宣布延期Office漏洞奖励计划到今年年底12月31号为止

近日，微软宣布延期 Office 漏洞奖励计划，截止日期到今年年底12月31号，使安全研究人员有更充足的时间提交漏洞。
微软今年3月开始实行的漏洞奖励计划，最开始的截止时间是今年的6月15号，奖励金额在6000到15000美金之间，具体数额取决于漏洞的严重程度和类型。该漏洞奖励计划最开始是为 Windows 上的 Office Insider 而建立的。
而现在，微软表示安全研究人员在今年12月31日之前都可以提交相关漏洞，并且对那些在过渡期提交的漏洞也可以延长时限。
微软正在寻找 Office Insider Builds 中可能会存在的问题，这样可以让用户更早地接触到 Office 新功能和更强力的安全防护。

微软安全响应中心首席安全团队经理 Phillip Misner 在博客中表示：

我们和安全社区的合作非常融洽，我们也会在 Windows  Office Insider Builds 中继续与安全社区合作。这这次的漏洞奖励计划可能标志着微软在大规模发布新版本前，找到其中可能会出现的漏洞会更加重要。

比如像利用 Office Protected View 进行沙盒逃逸和提权；绕过 Word，Excel，PowerPonit 中的安全保护措施，执行宏病毒；绕过 Outlook 中的 Blocked attachments 来预定义扩展，这样的漏洞提交都可以获得 15000 美金的漏洞奖励。

微软表示，只有那些最高级别的漏洞才会获得最高的奖金，对于质量不高的漏洞报告，收到的奖金不会超过9000美金。并且微软在漏洞奖励计划条款说明，对于上报的内容，必须要有相应的Poc。

而且这些提交的漏洞还要符合以下条件：

在打完最新安全补丁的 Windows 10 平台下运行；

使用的是最新版本的 Office Insider；

漏洞在以前并没有被提交过；

漏洞在以前版本可以复现，在最新版本中也可以复现。

而且，对于那些微软内部很知名，并且一直在研究中的那些问题，第一个符合条件的提交最多可以获得1500美金的漏洞奖励。

文章来源：freebuf 原文地址：http://www.freebuf.com/news/148382.html