Programa de Recompensas do Microsoft Edge (EdgeHTML) no Windows Insider Preview
O Programa de Recompensas do Microsoft Edge (EdgeHTML) terminará em 15 de março de 2020.
Serão oferecidos prêmios de recompensa por envios elegíveis recebidos antes de 23 de fevereiro de 2020. Envios elegíveis recebidos entre 24 de fevereiro e 15 de março de 2020 receberão 50% do prêmio elegível. Os envios recebidos após 15 de março de 2020 não serão mais elegíveis para prêmios de recompensa. O envio elegível continuará recebendo pontos no Programa de Reconhecimento de Pesquisadores após 15 de março.
Se você estiver interessado em ganhar prêmios de recompensa pela pesquisa do navegador Edge, convidamos você a participar do Programa de Recompensas do Microsoft Edge (baseado em Chromium).
DESCRIÇÃO DO PROGRAMA
O QUE CONSTITUI UM ENVIO QUALIFICADO?
- Identificar uma vulnerabilidade original e não relatada anteriormente no Microsoft Edge atual baseado no anel Modo Lento da WIP do EdgeHTML.
- O envio deve incluir o número de build de Modo Lento da WIP em que a vulnerabilidade é reproduzida.
- Incluir etapas de reprodução concisas que sejam compreendidas facilmente.
- (Isso permite que os envios sejam processados o mais rápido possível e dá suporte ao pagamento mais alto para o tipo de vulnerabilidade sendo relatado.)
- É necessário fornecer uma PoC (prova de conceito) com o envio.
COMO OS VALORES DE PAGAMENTO SÃO DEFINIDOS?
- Se recebermos muitos relatórios de bug para o mesmo problema de diferentes pessoas, a recompensa será concedida ao primeiro envio com base nos critérios mencionados acima.
- Se um relatório duplicado fornecer novas informações desconhecidas anteriormente pela Microsoft, poderemos premiar o envio duplicado com um valor.
- Novas vulnerabilidades que puderem resultar apenas em problemas com nível “médio” de severidade ainda poderão ser consideradas para recompensas.
Tipo de vulnerabilidade |
Alta qualidade* |
Linha de base** |
---|---|---|
Execução remota de código | Até USD 15.000 | De USD 500 a USD 5.000 |
Violação da política de mesma origem (XSS universal) | Até USD 6.000 | De USD 500 a USD 2.000 |
Divulgação de informações confidenciais | Até USD 5.000 | De USD 500 a USD 1.000 |
Outras vulnerabilidades novas (bypass de CSP, falsificação de referenciador etc.) | Até USD 2.000 | Até USD 500 |
Definições de envios qualificados:
O QUE CONSTITUI UM ENVIO NÃO QUALIFICADO?
- Vulnerabilidades em qualquer versão anterior ao build de Modo Lento atual da WIP
- Vulnerabilidades em qualquer versão do Internet Explorer
- Vulnerabilidades em qualquer versão do Microsoft Edge baseado em Chromium
- Vulnerabilidades no conteúdo gerado pelo usuário
- Vulnerabilidades que exigem ações improváveis ou abrangentes do usuário
- Vulnerabilidades com o MemGC (coletor de lixo de memória) desativado
- Vulnerabilidades encontradas desabilitando os recursos de segurança existentes do navegador
- Vulnerabilidades em recursos experimentais, como aqueles listados em about:flags
COMO POSSO FAZER MEU ENVIO?
Faça o envio completo para a Microsoft usando o portal de envio do MSRC e as diretrizes de envio de bugs. Solicitamos que você siga a Divulgação de Vulnerabilidades Coordenada ao relatar todas as vulnerabilidades. Dedicaremos esforços razoáveis para esclarecer envios indecifráveis ou incompletos.
Alguma pergunta? Sempre estamos disponíveis em secure@microsoft.com.
PRÊMIOS DE RECOMPENSA
- A Microsoft mantém um critério exclusivo para determinar os valores do prêmio e quais envios estão qualificados e no escopo.
- Não há restrições quanto ao número de envios qualificados que um remetente pode fornecer ou o número de prêmios que um remetente pode receber.
- Se recebermos muitos relatórios de bug para o mesmo problema de diferentes pessoas, a recompensa será concedida ao primeiro envio.
- Se um relatório duplicado fornecer novas informações desconhecidas anteriormente pela Microsoft, poderemos premiar o envio duplicado com um valor.
- Se um envio for possivelmente qualificado para vários programas de recompensas, você receberá o prêmio único de maior valor de somente um programa de recompensas
AVISO LEGAL
Agradecemos sua participação no Programa de Recompensas para a Localização de Bugs da Microsoft.
HISTÓRICO DE REVISÃO
- 4 de agosto de 2016: lançamento do programa de recompensas
- 7 de dezembro de 2018: adição da seção de histórico de revisão e uma introdução do programa atualizado
- 8 de abril de 2019: atualização das versões no escopo somente para o Microsoft Edge (EdgeHTML). Atualização da descrição dos prêmios de recompensa e introduções de seção.
- 23 de janeiro de 2020: o programa terminará em 15 de março de 2020.