マイクロソフトが、プロジェクトスパルタン(Edge)のバグを見つけると、賞金を出すよ!ってプログラムを展開しています。
気になる賞金は、見つけたバグの重要度に合わせて、$500~$15,000 とか。
結構な金額を出すんですねぇ。
まぁこれは、大きなプログラムになっているはずだし、用途としても、ものすごく広く使われるであろう事から、少しでも多くの方に、見つけ出して欲しいという意味であると思います。
ざっくり上記で、賞金の範囲について書きましたが、細かくそのレベルも規定がされていますね。
例えば、
Vulnerability type | Proof of concept | Functioning exploit | Report | Payout range |
Remote Code Execution in Project Spartan | required | required | High Quality | Up to $15,000 USD* |
required | No | High Quality | Up to $6,000 USD* | |
required | No | Low Quality | Up to $1,500 USD* | |
Sandbox Escape Vulnerability with Enhanced Protected Mode or in Project Spartan | required | required | High Quality | Up to $15,000 USD* |
required | No | High Quality | Up to $6,000 USD* | |
required | No | Low Quality | Up to $1,500 USD* | |
Important or Higher Severity Vulnerability in Project Spartan or EdgeHTML.dll | required | Optional | High Quality | Up to $6,000 USD* |
required | No | Low Quality | Up to $1,500 USD* | |
ASLR Info Disclosure Vulnerability in Project Spartan or EdgeHTML.dll | required | n/a | n/a | $500 USD* |
英語のままなので、ざっくりと説明すると、リモートコード実行、サンドボックス回避の脆弱性、重要度の高い脆弱性、ASLR の情報開示に関する脆弱性の4種類に分類され、見つけたバグを報告するにはその原因と、再現性を提示する必要があるとの事です。(そりゃそうだ)
リモートコード実行、サンドボックス回避の脆弱性のバグを見つければ、賞金の最高額が約 180万円~約 18万円で、他の、重要度の高い脆弱性は、最高額が約 72万円、ASLR に関する脆弱性は一律約 6万円となっています。
一応、1台動かしてはいるけれども、それなりに動いてはいるけれど、ハードの問題で、パフォーマンスが低いので、ちょっとここまでは出来ないなぁ。
いいマシンで動かしている方は、触りながら、いろいろ試してみると良いとは思いますが、バグ出しって、結構大変なんですよ~
本件に関しての記述は、マイクロソフトの Security Tech Center の Project Spartan Bug Bounty Program Terms のページにあります。
バグの報告は、2015年6月22日となっているので、この後どれくらいで、RTM -> FCS となるのか・・近いような気がします。
電子機器が大好きです。
プログラムを書くのをお仕事としていたこともあるので、両方できる PIC や Arduino を使って、いろいろな(役にあんまり立たない)ものを作っています。
実は UNIX 関連のお仕事も長かったので、Raspberry Pi もお手の物なのですけれど、これから触る機会が多くなるのかなぁ。
ボチボチ行きますが、お付き合いください。
若いころの写真なので、現時点では、まだ髪の毛は黒くてありますが、お髭は真っ白になりました。
愛車の国鉄特急カラーのカスタムしたリトルカブで、時々、秋月電子通商の八潮店に出没します。