1 2 3 4 5 6

Intel y Microsoft anuncian programas de recompensas

threatpost 16-Mar-2017

Intel anunció su primer programa de recompensas de gusanos, ofreciendo hasta 30,000 dólares a investigadores que encuentren vulnerabilidades críticas en su hardware. 

El programa es solo para invitados y se está ejecutando en la plataforma HackerOner. Fue anunciado en la conferencia CanSecWest en Vancouver.

Intel dijo que su software, firmware y hardware están en la mira para recompensas, en el cual ofrecen 7,500 y 10,000 dólares respectivamente por los hallazgos de software crítico y firmware.

“Queremos alentar a los investigadores a identificar los problemas y traérnoslos directamente para que podamos tomar medidas rápidas para evaluarlos y corregirlos, y queremos reconocer a los investigadores por el trabajo que realizan al investigar una vulnerabilidad”, dijo Intel. “Al asociarnos constructivamente con la comunidad de investigación de seguridad, creemos que estaremos mejor capacitados para proteger a nuestros clientes”.

Intel anunció nuevos precios para sus recompensas: hasta 10,000 dólares por errores de hardware de alta severidad, hasta 2,000 dólares para problemas de severidad media y hasta 1,000 dólares para problemas de seguridad baja.

Los errores de firmware de alta severidad podrían valer hasta 5,000 dólares mientras que las fallas de software de alta severidad podrían alcanzar hasta 2,500 dólares.

Intel dijo que sus productos de Seguridad Intel, anteriormente McAfee, no tienen alcance para recompensas, ni la infraestructura web de Intel, ni adquisiciones recientes.

Microsoft también anunció hoy que estaba ofreciendo recompensas por fallos de Office Insider Builds en Windows.

Insider Builds, dijo Microsoft, proporciona a los usuarios acceso temprano a las nuevas capacidades y características de seguridad de Office. Microsoft dijo que espera que los investigadores sean los primeros en probar las opciones de Office para buscar vulnerabilidades antes de que entre a producción.

Microsoft dijo que pagaría hasta 15,000 dólares por vulnerabilidades de privilegio de alta severidad a través de Office Protected View y para vulnerabilidades de ejecución de macros que pasen por alto las políticas de seguridad y bloquean macros de forma predeterminada. Otros errores de alta severidad que permitan la ejecución de código que eluden políticas de bloqueo de archivos adjuntos de Outlook tendrán un valor de 9,000 dólares. 

El programa abre hoy y durará tres meses hasta el 15 de junio.

“El programa Office Bug Bounty complementa nuestras continuas inversiones internas de ingeniería que incluye el diseño de características seguras mediante el modelado de amenazas, seguridad en revisiones de código, automatización de seguridad y pruebas internas de penetración”, explicó Microsoft.

Fuente: threatpost AL

Universidad Nacional Autonoma de México Aviso legal |  Créditos |  Staff |  Administración
Copyright © Todos los derechos reservados
UNAM - CERT