Microsoft, Microsoft Edge WebView2 uygunluğunun ve belirli kapsam dışı bilgilerin artık Edge Bounty Programına dahil edildiğini duyurdu.
Microsoft Edge Bounty Programı, yakında çıkacak Chromium tabanlı Microsoft Edge'e özel ve müşterilerin güvenliğini anında etkileyen güvenlik açıklarını bulmayı amaçlıyor.
Program, dünya çapındaki insanları Chromium tabanlı Microsoft Edge'e özgü güvenlik açıklarını aramaya ve bildirmeye davet ediyor.
Gereksinimleri karşılayan başvurular, 250 ABD Doları ile 30.000 ABD Doları arasında değişen ödül ödemeleri kazanabilir.
Bounty Ödüllerine Uygun Olmak İçin Güncellenen Kriterler
Güvenlik açığı gönderimlerinin ödül ödüllerine hak kazanabilmesi için başvuru sahiplerinin aşağıdaki gereksinimleri karşılaması gerekir:
Öncelikle, Microsoft Edge'in Geliştirme, Beta veya Stabil kanallarında, Chromium platformuna özel olan ve Google Chrome eşdeğerinde bulunmayan, daha önce bildirilmemiş bir güvenlik açığı bulun.
Ayrıca bu ödül programı, Microsoft Edge WebView2'deki çalıştığı kanıtlanabilen açıkları dikkate alacaktır.
Microsoft Edge WebView2 Çalışma Zamanları ve SDK'lar:
- WebView2 ön yayın ve yayın SDK'sı
- Evergreen WebView2 çalışma zamanı ve Microsoft Edge'in Geliştirme ve Beta kanalındaki çalışma zamanları
Bir güvenlik açığı bildirildiğinde, bu güvenlik açığının, Windows 10 da dahil olmak üzere Windows'un en yeni, tam yama uygulanmış sürümünde en yeni WebView2 SDK'ları ve çalışma zamanları kullanılarak yeniden üretilebilmesi gerekir.
Ayrıca, güvenlik açığını yeniden oluşturmak için kullanılan WebView2 çalışma zamanı sürümünü (örneğin, Sürüm 114.0.1823.79) ve WebView2 SDK sürümünü (örneğin, 1.0.1905-ön sürüm veya 1.0.2088.41) sağlayın.
Bu ödül programı kapsamında, Microsoft Edge'de çoğaltılan ancak Chrome'da üretilmeyen üçüncü taraf bileşenlerdeki kanıtlanmış istismarlar da değerlendirmeye alınabilir.
Microsoft, yazılı veya video biçiminde açık ve basit çoğaltma talimatları sağlayacağını söyledi. Ayrıca, başvuruyla birlikte Konsept Kanıtı'nın (PoC) da sunulması gerekmektedir.
Chromium'daki Microsoft Edge, onu rekabette öne çıkaran birkaç özelliğe sahiptir ve Microsoft ödülüne layık görülen güvenlik açıklarını tespit etmek için yararlı alanlar olabilir.
Bunlar, Windows'un desteklenen bir sürümünü gerektiren Internet Explorer (IE) Modu, PlayReady DRM, Microsoft Hesabı (MSA) veya Azure Active Directory (AAD), Application Guard, Edge PDF ve Microsoft Edge WebView2 ile oturum açmayı içerebilir.
“Yüksek kaliteli bir rapor, bir mühendisin sorunu hızlı bir şekilde yeniden oluşturması, anlaması ve düzeltmesi için gerekli bilgileri sağlar.
Microsoft, bunun genellikle gerekli arka plan bilgilerini, hatanın açıklamasını ve ekli kavram kanıtını (PoC) içeren kısa bir yazı veya videoyu içerdiğini söyledi.
Araştırmacıların, Microsoft Bounty Programları ve ilgili koşullar ve SSS'ler hakkındaki ayrıntılar için bu sayfayı ziyaret etmeleri önerilir.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan.