Programa de Recompensas do Microsoft Edge (EdgeHTML) no Windows Insider Preview
O Programa de Recompensas do Microsoft Edge (EdgeHTML) terminará em 15 de março de 2020.
Serão oferecidos prêmios de recompensa por envios elegíveis recebidos antes de 23 de fevereiro de 2020. Envios elegíveis recebidos entre 24 de fevereiro e 15 de março de 2020 receberão 50% do prêmio elegível. Os envios recebidos após 15 de março de 2020 não serão mais elegíveis para prêmios de recompensa. O envio elegível continuará recebendo pontos no Programa de Reconhecimento de Pesquisadores após 15 de março.
Se você estiver interessado em ganhar prêmios de recompensa pela pesquisa do navegador Edge, convidamos você a participar do Programa de Recompensas do Microsoft Edge (baseado em Chromium).
DESCRIÇÃO DO PROGRAMA
O programa de recompensas do Microsoft Edge (EdgeHTML) incentiva pessoas do mundo inteiro a enviar vulnerabilidades encontradas no Microsoft Edge com base no EdgeHTML fornecido com o anel Modo Lento mais recente do Windows 10 Insider Preview. Envios qualificados poderão ganhar prêmios de recompensa que vão de USD 500 a USD 15.000 e as recompensas serão concedidas a critério da Microsoft com base na qualidade e na complexidade da vulnerabilidade. Além disso, estão sujeitos aos Termos e Condições das Recompensas da Microsoft.
As atualizações do Windows 10 Insider Preview são fornecidas aos testadores em anéis diferentes. Para este programa de recompensas, pedimos que você envie bugs no anel Modo Lento do Windows Insider Preview. Confira https://insider.windows.com/ e https://insider.windows.com/Home/GetStarted para obter mais informações.
O QUE CONSTITUI UM ENVIO QUALIFICADO?
A meta do Programa de Recompensas para a Localização de Bugs da Microsoft é descobrir vulnerabilidades significativas com impacto direto e demonstrável na segurança dos nossos clientes. Os envios de vulnerabilidades precisam atender aos seguintes critérios para qualificação para receber a recompensa:
- Identificar uma vulnerabilidade original e não relatada anteriormente no Microsoft Edge atual baseado no anel Modo Lento da WIP do EdgeHTML.
- O envio deve incluir o número de build de Modo Lento da WIP em que a vulnerabilidade é reproduzida.
- Incluir etapas de reprodução concisas que sejam compreendidas facilmente.
- (Isso permite que os envios sejam processados o mais rápido possível e dá suporte ao pagamento mais alto para o tipo de vulnerabilidade sendo relatado.)
- É necessário fornecer uma PoC (prova de conceito) com o envio.
COMO OS VALORES DE PAGAMENTO SÃO DEFINIDOS?
Os prêmios de recompensa vão de USD 500 até USD 25.000. É possível distribuir prêmios maiores, a critério da Microsoft, com base na qualidade e na complexidade do envio. Os pesquisadores com envios não qualificados para os prêmios ainda poderão se qualificar para reconhecimento público se o envio levar a uma correção de vulnerabilidade.
- Se recebermos muitos relatórios de bug para o mesmo problema de diferentes pessoas, a recompensa será concedida ao primeiro envio com base nos critérios mencionados acima.
- Se um relatório duplicado fornecer novas informações desconhecidas anteriormente pela Microsoft, poderemos premiar o envio duplicado com um valor.
- Novas vulnerabilidades que puderem resultar apenas em problemas com nível “médio” de severidade ainda poderão ser consideradas para recompensas.
| Tipo de vulnerabilidade |
Alta qualidade* |
Linha de base** |
|---|---|---|
| Execução remota de código | Até USD 15.000 | De USD 500 a USD 5.000 |
| Violação da política de mesma origem (XSS universal) | Até USD 6.000 | De USD 500 a USD 2.000 |
| Divulgação de informações confidenciais | Até USD 5.000 | De USD 500 a USD 1.000 |
| Outras vulnerabilidades novas (bypass de CSP, falsificação de referenciador etc.) | Até USD 2.000 | Até USD 500 |
* Atende a todas as diretrizes dos critérios de envio descritos acima, contém uma PoC de alta qualidade e maneiras pelas quais o invasor pode se aproveitar da descoberta contra um usuário.
** Atende a todas as diretrizes dos critérios de envio descritos acima, mas faltam mais informações detalhadas ou a PoC é de baixa qualidade.
Definições de envios qualificados:
Prova de conceito
Os arquivos e as etapas necessários para reproduzir a vulnerabilidade de forma confiável.
Execução remota de código
Uma vulnerabilidade em um anel Modo Lento da WIP do Microsoft Edge (EdgeHTML) em que um invasor tem acesso ao dispositivo de computação de outra pessoa e faz alterações, independentemente de onde o dispositivo está localizado geograficamente.
O QUE CONSTITUI UM ENVIO NÃO QUALIFICADO?
O objetivo do programa de recompensas para a localização de bugs é descobrir vulnerabilidades significativas com impacto direto e demonstrável sobre a segurança e os dados de nossos usuários. Ainda que incentivemos todos os envios que descrevam vulnerabilidades de segurança em nossos navegadores, os exemplos de vulnerabilidade a seguir não receberão uma recompensa neste programa:
- Vulnerabilidades em qualquer versão anterior ao build de Modo Lento atual da WIP
- Vulnerabilidades em qualquer versão do Internet Explorer
- Vulnerabilidades em qualquer versão do Microsoft Edge baseado em Chromium
- Vulnerabilidades no conteúdo gerado pelo usuário
- Vulnerabilidades que exigem ações improváveis ou abrangentes do usuário
- Vulnerabilidades com o MemGC (coletor de lixo de memória) desativado
- Vulnerabilidades encontradas desabilitando os recursos de segurança existentes do navegador
- Vulnerabilidades em recursos experimentais, como aqueles listados em about:flags
Reservamo-nos o direito, a nosso critério exclusivo, de rejeitar qualquer envio que se enquadre nessas categorias de vulnerabilidades, mesmo se estiver qualificado para uma recompensa de outra forma.
COMO POSSO FAZER MEU ENVIO?
Faça o envio completo para a Microsoft usando o portal de envio do MSRC e as diretrizes de envio de bugs. Solicitamos que você siga a Divulgação de Vulnerabilidades Coordenada ao relatar todas as vulnerabilidades. Dedicaremos esforços razoáveis para esclarecer envios indecifráveis ou incompletos.
Alguma pergunta? Sempre estamos disponíveis em secure@microsoft.com.
PRÊMIOS DE RECOMPENSA
- A Microsoft mantém um critério exclusivo para determinar os valores do prêmio e quais envios estão qualificados e no escopo.
- Não há restrições quanto ao número de envios qualificados que um remetente pode fornecer ou o número de prêmios que um remetente pode receber.
- Se recebermos muitos relatórios de bug para o mesmo problema de diferentes pessoas, a recompensa será concedida ao primeiro envio.
- Se um relatório duplicado fornecer novas informações desconhecidas anteriormente pela Microsoft, poderemos premiar o envio duplicado com um valor.
- Se um envio for possivelmente qualificado para vários programas de recompensas, você receberá o prêmio único de maior valor de somente um programa de recompensas
AVISO LEGAL
Para saber mais sobre os requisitos e as diretrizes legais do programa de recompensas da Microsoft, confira os Termos de Recompensa e as Perguntas frequentes.
Agradecemos sua participação no Programa de Recompensas para a Localização de Bugs da Microsoft.
HISTÓRICO DE REVISÃO
- 4 de agosto de 2016: lançamento do programa de recompensas
- 7 de dezembro de 2018: adição da seção de histórico de revisão e uma introdução do programa atualizado
- 8 de abril de 2019: atualização das versões no escopo somente para o Microsoft Edge (EdgeHTML). Atualização da descrição dos prêmios de recompensa e introduções de seção.
- 23 de janeiro de 2020: o programa terminará em 15 de março de 2020.