프로그램 설명

Microsoft Edge 장려금 프로그램은 Chromium 기반 Microsoft Edge에 고유한 취약성을 찾아서 제출하는 전 세계 개인을 환영합니다. 적격 제출은 $1,000 USD~$30,000 USD의 장려금을 받을 수 있습니다. 

장려금은 취약성의 심각도 및 영향과 제출 품질을 기준으로 Microsoft의 판단에 따라 지급되며 Microsoft 장려금 사용 약관이 적용됩니다. 

적격 제출의 조건

Microsoft Edge 장려금 프로그램의 목표는 고객의 보안에 직접적이고 시연 가능한 영향을 미치는, Chromium 기반의 다음 Microsoft Edge에 고유한 취약성을 발견하는 것입니다. 장려금을 받으려면 취약성 제출이 다음 조건을 충족해야 합니다. 

  • 베타 또는 개발 채널에서
    Microsoft Edge(Chromium 기반)에 고유하고,
    Google Chrome의
    동등한 채널에서 재현되지 않는 이전에
    미신고된
    취약성을
    확인합니다.
    • 제출 당시 완전히 패치된 최신 버전의 Windows(Windows 10, Windows 7 SP1 또는 Windows 8.1 포함) 또는 MacOS에서 실행되는 최신 버전의 Microsoft Edge에서 취약성이 재현되어야 합니다. Windows Insider Preview에서의 테스트는 필요하지 않습니다. 
    • 취약성을 재현하는 데 사용된 Microsoft Edge 버전 번호(예: 버전 77.0.188.0(공식 빌드) 개발(64비트) 및 Chrome에서 재현되지 않음을 확인하는 데 사용된 Chrome 버전 번호를 포함합니다. Microsoft Edge의 적격 버전 번호는 77 이상에서 시작합니다.  
  • Microsoft Edge에서는 재현되지만 Chrome에서 재현되지 않는 타사 구성 요소의 시연 가능한 익스플로잇도 이 장려금 프로그램에 적합합니다.
    • 악용 가능성의 전체 PoC(개념 증명)가 필요합니다. 예를 들어 만료된 라이브러리를 확인하는 것만으로는 장려금을 받을 수 없습니다.
  • 쉽게 이해할 수 있는 간결하고 재현 가능한 단계를 서면이나 동영상 형식으로 포함합니다. 
    • 이렇게 하면 제출을 최대한 빠르게 처리할 수 있으며 최대 금액의 장려금이 지급됩니다. 
  • 제출과 함께 PoC(개념 증명)를 제공해야 합니다. 

Microsoft는 위의 조건을 충족하지 않는다고 확인된 모든 제출을 단독 판단에 따라 수락하거나 거부할 수 있습니다.

시작

차기 버전의 Microsoft Edge를 다운로드하고 Microsoft Edge 팀 블로그, 커뮤니티 포럼, GitHub, Microsoft Edge Insider 페이지 및 Twitter를 팔로우하여 최신 기능과 릴리스에 대해 알아보세요. 

Chromium의 Microsoft Edge에는 Edge에 고유한 몇 가지 기능이 있으며, 여기서 Microsoft 장려금에 적합한 취약성을 찾기 시작하는 것이 좋습니다. 아래에는 몇 가지 예가 나와 있습니다. 

  • IE(Internet Explorer) 모드: 이 기능을 사용하면 엔터프라이즈 관리자가 Edge 브라우저 내에서 IE 모드로 열 수 있는 신뢰할 수 있는 사이트 목록을 유지 관리할 수 있습니다. 이 기능을 사용하려면 지원되는 버전의 Windows가 필요합니다. 이 기능에 대한 자세한 내용은 새 Microsoft Edge 문서를 참조하세요.  
  • PlayReady DRM : 이 기능을 사용하면 Google Chrome에서도 지원되는 WideVine DRM 외에 PlayReady DRM으로 보호된 미디어 콘텐츠를 새 Microsoft Edge에서 표시할 수 있습니다. 
  • MSA(Microsoft 계정) 또는 AAD(Azure Active Directory)로 로그인 - 이 기능을 통해 사용자는 MSA 또는 AAD로 브라우저에 로그인한 다음, 디바이스 간 동기화 및 기타 개인 설정을 사용할 수 있습니다. Microsoft ID 서비스에 영향을 주는 취약성은 적합한 경우 Microsoft ID 장려금 프로그램에서 검토되고 장려금을 받을 수 있습니다.  
  • Application Guard: Application Guard에 영향을 주는 취약성은 Windows Defender Application Guard 장려금 프로그램에서 검토되고 장려금을 받을 수 있습니다. WDAG 컨테이너에서 호스트로 이스케이프되는 취약성은 최대 $30,000를 받을 수 있습니다.

지급액 설정 방법

장려금 수급 범위는 $1,000~$30,000입니다. 항목 품질 및 복잡성을 기준으로 Microsoft의 단독 판단에 따라 더 많은 금액의 장려금이 지급될 수 있습니다. 장려금을 받을 수 없는 제출을 제공하는 연구원도 제출 내용을 통해 취약성이 수정될 경우 공개적으로 인정을 받을 수 있습니다. 

보안 영향

신고서 품질

심각도

위험 및 중요

샌드박스 이스케이프

높음

중간

낮음

$30,000

$25,000

$20,000

Application Guard 컨테이너 이스케이프

Windows Defender Application Guard 장려금 프로그램 

(최대 $30,000)

정보 공개

높음

중간

낮음

$20,000

$10,000

$7,000

보안 기능 바이패스

높음

중간

낮음

$20,000

$10,000

$7,000

렌더러 프로세스 RCE(원격 코드 실행)

높음

중간

낮음

$10,000

$8,000

$5,000

스푸핑/변조

높음

중간

낮음

$7,500

$3,000

$1,000

서비스 거부 

높음/낮음

범위 외

* 디바이스의 지리적 위치와 관계없이 공격자가 공격 대상의 컴퓨팅 디바이스에 원격으로 액세스하여 변경할 수 있는 Microsoft Edge의 취약성입니다. 

**해당 없음: 나열된 보안 영향이 발생하는 취약성이 이 심각도 범주에 해당하지 않습니다. 

높은 품질의 신고서는 엔지니어가 문제를 빠르게 재현, 파악 및 해결하는 데 필요한 정보를 제공합니다. 이렇게 하려면 일반적으로 필요한 배경 정보, 버그 설명, 연결된 PoC(개념 증명)가 포함된 간결한 문서나 동영상을 포함합니다. 여기에서 높은 품질과 낮은 품질의 신고서 샘플을 확인할 수 있습니다. 

일부 문제는 재현 및 파악하기가 매우 어렵다는 것을 인정하며, 제출 품질을 심사할 때 고려됩니다.

범위 외의 제출 및 취약성

Microsoft는 사례별로 모든 제출을 받고 검토하지만, 일부 제출과 취약성 유형은 장려금 보상에 부적합할 수 있습니다. 다음은 일반적으로 장려금 보상을 받지 못하는 몇 가지 일반적인 낮은 심각도 또는 범위 외 문제입니다. 

  • Microsoft에 이미 신고되었거나 광범위한 보안 커뮤니티에 이미 알려진 공개된 취약성 
  • 제출 당시 Chrome에서 재현되는 취약성 
  • 제출 당시 Canary 또는 이전 빌드에서만 재현되는 취약성  
  • 모든 Internet Explorer 버전의 취약성 
  • EdgeHTML을 기반으로 하는 Microsoft Edge 버전(Edge 버전 45 이하)의 취약성 
  • iOS 또는 Android와 같은 모바일 운영 체제에서 실행되는 Edge의 취약성 
  • 사용자 생성 콘텐츠의 취약성 
  • 광범위하거나 발생 가능성이 없는 사용자 작업이 필요한 취약성 
  • 기존 브라우저 보안 기능을 사용하지 않도록 설정하여 발견된 취약성 
  • edge://flags에 나열된 취약성과 같은 실험적 기능의 취약성 

Microsoft는 단독 판단에 따라 이러한 범주에 해당한다고 확인된 제출을 수락하거나 거부할 수 있습니다.

제출 제공 방법

MSRC 제출 포털버그 제출 지침을 사용하여 전체 제출 내용을 Microsoft로 보내세요. 모든 취약성을 신고할 때는 Coordinated Vulnerability Disclosure를 따를 것을 요청합니다. Microsoft는 이해하기 어렵거나 불완전한 제출 내용을 파악하기 위해 합리적인 노력을 합니다.

질문이 있는 경우 언제든지 secure@microsoft.com으로 문의하세요.

장려금 지급 규정

  • Microsoft는 단독 판단에 따라 장려금 및 범위 내 적격 제출을 결정합니다. 
  • 개별 제출자가 제공할 수 있는 적격한 제출 수 또는 제출자가 받을 수 있는 장려금 횟수에는 제한이 없습니다. 
  • 각기 다른 사람으로부터 동일한 문제에 대한 버그 신고서를 여러 개 받을 경우 장려금은 최초 제출에 지급됩니다. 
  • 중복된 신고서에서 이전에 Microsoft에 알려지지 않은 새로운 정보를 제공하는 경우 중복 제출에도 부분 장려금이 지급될 수 있습니다. 
  • 제출이 잠재적으로 여러 장려금 프로그램에 적합한 경우, 단일 장려금 프로그램에서 최대 금액의 장려금 하나를 받게 됩니다.

사용 약관

Microsoft 장려금 프로그램 요구 사항 및 법적 지침에 대한 자세한 내용은 장려금 사용 약관, FAQ 및 장려금 Safe Harbor 정책을 참조하세요.

Microsoft 버그 신고 장려금 프로그램에 참여해 주셔서 감사합니다. 

수정 기록

  • 2019년 8월 20일: 장려금 프로그램을 시작했습니다. MemGC 참조를 제거했습니다.
  • 2020년 1월 15일: 정보 공개, 보안 기능 바이패스 및 스푸핑/변조의 장려금이 늘어났고 권한 상승이 샌드박스 이스케이프로 변경되었습니다. Edge의 새 버전이 일반 공급됨에 따라 “Edge Insider 장려금 프로그램”에서 “Edge 장려금 프로그램”으로 이름이 변경되었습니다.