DESCRIÇÃO DO PROGRAMA

O Programa de Recompensas do Microsoft Edge incentiva pessoas do mundo inteiro a buscar e enviar vulnerabilidades exclusivas do Microsoft Edge baseado em Chromium. Os envios qualificados poderão ganhar prêmios de recompensa que vão de US$ 1.000 a US$ 30.000

As recompensas serão concedidas a critério da Microsoft com base na severidade e no impacto da vulnerabilidade e na qualidade do envio. Além disso, estão sujeitas aos Termos e Condições das Recompensas da Microsoft.

O QUE CONSTITUI UM ENVIO QUALIFICADO?

A meta do Programa de Recompensas do Microsoft Edge é descobrir vulnerabilidades exclusivas do próximo Microsoft Edge baseado em Chromium que tenham impacto direto e demonstrável sobre a segurança de nossos clientes. Os envios de vulnerabilidades devem atender aos seguintes critérios para serem qualificados para receber prêmios de recompensa: 

  • Identificar uma vulnerabilidade não relatada anteriormente
    exclusiva do Microsoft Edge
    baseado em Chromium nos canais
    Dev, Beta ou Estável
    e que
    não seja
    reproduzida no canal equivalente do Google Chrome.
    • As vulnerabilidades devem ser reproduzíveis na versão mais recente (no momento do envio) do Microsoft Edge em execução na versão mais recente e corrigida do Windows (incluindo Windows 10, Windows 7 SP1 ou Windows 8.1) ou do MacOS. O teste no Windows Insider Preview não é necessário. 
    • Inclua o número de versão do Microsoft Edge usado para reproduzir a vulnerabilidade, por exemplo, versão 77.0.188.0 (build oficial) Dev (64 bits), e o número de versão do Chrome usado para verificar se a vulnerabilidade não é reproduzida no Chrome. Os números de versão qualificados do Microsoft Edge começarão com, pelo menos, 77.   
  • As explorações demonstráveis em componentes de terceiros que são reproduzidas no Microsoft Edge, mas não no Chrome, também se qualificam para consideração no programa de recompensas.
    • Requer a PoC (prova de conceito) completa da exploração. Por exemplo, simplesmente identificar uma biblioteca desatualizada não se qualificaria para um prêmio.
  • Incluir etapas concisas para reprodução que sejam facilmente compreendidas, por escrito ou em formato de vídeo.
    • Isso permite que os envios sejam processados o mais rapidamente possível e possibilita prêmios de recompensa mais altos.
  • É necessário fornecer uma PoC (prova de conceito) com o envio.

A Microsoft poderá aceitar ou rejeitar qualquer envio, de acordo com seus critérios exclusivos, que determinar não atender a esses critérios.

INTRODUÇÃO

Baixe a próxima versão do Microsoft Edge e siga o blog da equipe do Microsoft Edge, os fóruns da comunidade no GitHub, a página do Microsoft Edge Insider e a página do Twitter para saber mais sobre os recursos e as versões mais recentes.

Há vários recursos no Microsoft Edge no Chromium que são exclusivos do Edge e podem ser úteis para começar a procurar vulnerabilidades qualificadas para as recompensas da Microsoft. Abaixo temos alguns exemplos:

  • Modo IE (Internet Explorer): este recurso permite que os administradores corporativos mantenham uma lista confiável de sites que podem ser abertos no modo IE no navegador Edge. Este recurso requer uma versão do Windows compatível. Confira a nova documentação do Microsoft Edge para obter mais detalhes sobre esse recurso.
  • PlayReady DRM: esse recurso permite que o novo Microsoft Edge mostre conteúdo de mídia protegido pelo PlayReady DRM (além do WideVine DRM, que também é compatível com o Google Chrome).
  • Entrar com a MSA (conta Microsoft) ou com o AAD (Azure Active Directory) – este recurso permite que os usuários entrem no navegador com uma MSA ou um AAD e possam habilitar a sincronização entre dispositivos e outras personalizações. As vulnerabilidades que afetam os serviços do Microsoft Identity serão examinadas e premiadas pelo Programa de Recompensas do Microsoft Identity, se qualificadas.
  • Application Guard: as vulnerabilidades que afetam o Application Guard serão examinadas e premiadas pelo Programa de Recompensa do Windows Defender Application Guard, se qualificadas. Vulnerabilidades resultantes de uma fuga do contêiner do WDAG para o host podem receber prêmios de até USD 30.000.

COMO OS VALORES DE PAGAMENTO SÃO DEFINIDOS?

Os prêmios de recompensa variam de USD 1.000 a USD 30.000. É possível distribuir prêmios maiores, a critério da Microsoft, com base na qualidade e na complexidade da entrada. Os pesquisadores com envios não qualificados para os prêmios ainda poderão se qualificar para reconhecimento público se o envio levar a uma correção de vulnerabilidade. 

Impacto de segurança

Qualidade do relatório

Gravidade

Crítico e importante

Escape de área restrita

Alto

Média

Baixo

USD 30.000

USD 25.000

USD 20.000

Escape de contêiner do Application Guard

Programa de Recompensas do Windows Defender Application Guard 

(até US$ 30.000)

Divulgação de informações confidenciais

Alto

Média

Baixo

USD 20.000

USD 10.000

USD 7.000

Bypass de recurso de segurança

Alto

Média

Baixo

USD 20.000

USD 10.000

USD 7.000

Renderizar processo de RCE (Execução Remota de Código)

Alto

Média

Baixo

USD 10.000

USD 8.000

USD 5.000

Adulteração/falsificação

Alto

Média

Baixo

USD 7.500

USD 3.000

US$ 1.000

Negação de serviço 

Alta/baixa

Fora do escopo

Uma vulnerabilidade no Microsoft Edge baseado em Chromium em que um invasor tem acesso remoto ao dispositivo de computação de uma vítima e faz alterações, independentemente de onde o dispositivo está localizado geograficamente.

**N/D: vulnerabilidades que resultam no impacto de segurança listado não se qualificam para esta categoria de severidade 

Um relatório de alta qualidade fornece aos engenheiros as informações necessárias para reproduzir, entender e corrigir o problema rapidamente. Normalmente, isso inclui um texto ou um vídeo conciso com todas as informações de referência necessárias, uma descrição do bug e uma PoC (prova de conceito) anexada. Exemplos de relatórios de alta e baixa qualidade estão disponíveis aqui.

Reconhecemos que alguns problemas são extremamente difíceis de reproduzir e entender e isso será considerado ao julgar a qualidade de um envio.

VULNERABILIDADES E ENVIOS FORA DO ESCOPO

A Microsoft tem o prazer de receber e examinar cada envio caso a caso, mas alguns tipos de envio e de vulnerabilidade podem não estar qualificados para recompensas. Veja alguns dos problemas de baixa severidade ou fora do escopo que normalmente não ganham recompensas:

  • Vulnerabilidades divulgadas publicamente já relatadas à Microsoft ou já conhecidas pela comunidade de segurança como um todo
  • Vulnerabilidades que são reproduzidas no Chrome no momento do envio
  • Vulnerabilidades que são reproduzidas apenas no Canary ou em builds anteriores no momento do envio
  • Vulnerabilidades em qualquer versão do Internet Explorer
  • Vulnerabilidades em qualquer versão do Microsoft Edge baseada em EdgeHTML (versões do Edge até e incluindo a versão 45).
  • Vulnerabilidades no Edge em execução em sistemas operacionais móveis, como iOS ou Android
  • Vulnerabilidades no conteúdo gerado pelo usuário
  • Vulnerabilidades que exigem ações improváveis ou abrangentes do usuário
  • Vulnerabilidades encontradas desabilitando os recursos de segurança existentes do navegador
  • Vulnerabilidades em recursos experimentais, como aqueles listados em edge://flags

A Microsoft poderá aceitar ou rejeitar (a seu critério exclusivo) qualquer envio que se enquadre nessas categorias.

COMO POSSO FAZER MEU ENVIO?

Faça o envio completo para a Microsoft usando o portal de envio do MSRC e as diretrizes de envio de bugs. Solicitamos que você siga a Divulgação de Vulnerabilidades Coordenada ao relatar todas as vulnerabilidades. Dedicaremos esforços razoáveis para esclarecer envios indecifráveis ou incompletos.

Alguma pergunta? Sempre estamos disponíveis em secure@microsoft.com.

PRÊMIOS DE RECOMPENSA

  • A Microsoft mantém um critério exclusivo para determinar os valores do prêmio e quais envios estão qualificados e no escopo.
  • Não há restrições quanto ao número de envios qualificados que um remetente pode fornecer ou ao número de prêmios que um remetente pode receber.
  • Se recebermos muitos relatórios de bug, de diferentes pessoas, para o mesmo problema, a recompensa será concedida ao primeiro envio.
  • Se um relatório duplicado fornecer novas informações desconhecidas anteriormente pela Microsoft, poderemos oferecer um prêmio parcial pelo envio duplicado.
  • Se um envio for possivelmente qualificado para vários programas de recompensas, você receberá o prêmio único de maior valor de somente um programa de recompensas

TERMOS E CONDIÇÕES

Para saber mais sobre os requisitos e as diretrizes legais do programa de recompensas da Microsoft, confira os Termos de Recompensa, as Perguntas frequentes e a política de Safe Harbor das recompensas.

Agradecemos sua participação no Programa de Recompensas para a Localização de Bugs da Microsoft. 

HISTÓRICO DE REVISÃO

  • 20 de agosto de 2019: lançamento do programa de recompensas. Remoção da referência ao MemGC.
  • 15 de janeiro de 2020: aumento de prêmios para divulgação de informações confidenciais, bypass de recurso de segurança e adulteração/falsificação e alteração da elevação de privilégio para escape de área restrita. Renomeado de "Programa de Recompensas do Edge Insider" para "Programa de Recompensas do Edge", juntamente com a disponibilidade geral da nova versão do Edge.