Skip to main content

Termos do Programa de Recompensa por Descoberta de Bugs do Microsoft Edge Web Platform no Windows Insider Preview

DESCRIÇÃO DO PROGRAMA

Estamos iniciando um programa de recompensa por descoberta de vulnerabilidades de segurança para o Microsoft Edge que acompanha o WIP (Windows Insider Preview) 10. O programa começa em 4 de agosto de 2016 e termina em 15 de maio de 2017. Durante o programa, pessoas de todo o mundo têm a oportunidade de enviar vulnerabilidades encontradas no Microsoft Edge que acompanha o anel lento do último Windows 10 Insider Preview. As atualizações do Windows 10 Insider Preview são entregues para testadores em anéis diferentes. Para o programa de recompensa, solicitamos que você envie bugs no anel lento do Windows Insider Preview. Confira https://insider.windows.com/ e https://insider.windows.com/Home/GetStarted para obter mais informações.

Os envios qualificados são qualificados para um pagamento que varia de US$ 500 (mínimo) a US$ 15.000 e as recompensas serão pagas a critério da Microsoft de acordo com a qualidade e complexidade da vulnerabilidade. A Microsoft poderá oferecer mais de US$ 15.000, dependendo da qualidade e complexidade da entrada.

O QUE CONSTITUI UM ENVIO QUALIFICADO?

Os envios de vulnerabilidade fornecidos à Microsoft devem atender aos seguintes critérios para se qualificar para o pagamento:

  • Identificar uma vulnerabilidade original e não relatada anteriormente no Microsoft Edge atual no anel lento do WIP
  • A vulnerabilidade deve ser reproduzida em builds recentes do anel lento do WIP para se qualificar para uma recompensa
    • Se um envio for reproduzido em um build anterior do Anel Lento do WIP, mas não no Anel Lento do WIP atual no momento do envio ele não será qualificado
  • Incluir etapas de reprodução concisas que possam ser facilmente compreendidas. (Isso permite que os envios sejam processados o mais rápido possível e deem suporte ao pagamento mais alto para o tipo de vulnerabilidade relatado.)
  • Incluir o número de build do anel lento do WIP no qual a vulnerabilidade é reproduzida

A Microsoft poderá rejeitar qualquer envio que ela determine (a seu critério exclusivo) não atender a esses critérios.

COMO AS QUANTIAS DE PAGAMENTO SÃO DEFINIDAS?

  • Se recebermos vários relatórios de bugs para o mesmo problema de partes diferentes, a recompensa será concedida ao primeiro envio, de acordo com os critérios mencionados acima
  • Caso um relatório duplicado forneça novas informações anteriormente desconhecidas pela Microsoft, forneceremos um diferencial para o envio duplicado
  • O primeiro relatório externo recebido sobre um problema conhecido internamente receberá, no máximo, US$ 1.500

A faixa de pagamento para os envios qualificados será baseada no seguinte:

Tipo de vulnerabilidadeExploração
do funcionamento
Prova de
conceito
Qualidade do RelatórioFaixa de pagamento (US$) *
Código Remoto
Execução no
Microsoft Edge em
compilações recentes do WIP
lento
NecessáriaNecessáriaAltaAté US$ 15.000
NãoNecessáriaAltaAté US$ 6.000
NãoNecessáriaBaixoAté US$ 1.500
Violações de padrões
W3C que
comprometem a privacidade ou
integridade de dados importantes do usuário.

NãoNecessáriaAltaAté US$ 6.000
 Necessária  

Isso inclui:

  • Violação de SoP,
    ou seja, UXSS
  • Falsificações de referenciador
Não BaixoAté US$ 1.500

Isso não inclui:

  • XSS, CSRF: relatar
    para o proprietário
    do site
  • Bypass de filtro XSS
    

*Pagamentos mais altos são possíveis, a critério exclusivo da Microsoft, com base na complexidade e qualidade de entrada.

Definições de Envios Qualificados:

  • Exploração funcional
    • Expansão da prova de conceito que demonstra de forma concreta que a execução remota de código é possível, como forçar o Microsoft Edge Technical Preview a executar um programa escolhido pelo invasor (por exemplo, calc.exe).
  • A exploração deve ignorar todas as mitigações relevantes habilitadas pelo anel lento do Windows 10 Insider Preview
  • Prova de conceito
    • Os arquivos e as etapas necessárias para reproduzir a vulnerabilidade de forma confiável.
  • Execução remota de código
    • Uma vulnerabilidade no Anel Lento do WIP no Microsoft Edge em que um invasor tem acesso ao dispositivo de computação de outra pessoa e faz alterações, independentemente do local geográfico do dispositivo.

O QUE CONSTITUI UM ENVIO NÃO QUALIFICADO?

O objetivo do programa de recompensa por descoberta de bugs é descobrir vulnerabilidades significativas que têm um impacto direto e demonstrável sobre a segurança e os dados de nossos usuários. Embora incentivemos os envios que descrevem as vulnerabilidades de segurança em nossos navegadores, estes são exemplos de vulnerabilidades que não receberão uma recompensa nos termos deste programa:

  • Vulnerabilidades em versões anteriores ao build atual do anel lento do WIP
  • Vulnerabilidades em todas as versões do Internet Explorer
  • Vulnerabilidades em conteúdo gerado pelo usuário
  • Vulnerabilidades que exigem ações do usuário que sejam abrangentes ou improváveis
  • Vulnerabilidades com o MemGC (Coletor de Lixo da Memória) desativado
  • Vulnerabilidades encontradas com a desabilitação de recursos de segurança do navegador existentes
  • Vulnerabilidades em recursos experimentais, como aqueles listados em about:flags

Reservamos o direito de rejeitar qualquer envio que determinarmos, a nosso critério exclusivo, pertencer a uma dessas categorias de vulnerabilidades, mesmo que seja, de outro modo, qualificado para uma recompensa.

COMO FAÇO PARA FORNECER MEU ENVIO?

Encaminhe seu envio completo à Microsoft para secure@microsoft.com usando as diretrizes de envio de bugs encontradas aqui. Solicitamos que você siga a Divulgação Coordenada de Vulnerabilidades ao relatar todas as vulnerabilidades. Não somos responsáveis por envios não recebidos por qualquer motivo. Envidaremos esforços razoáveis para esclarecer envios indecifráveis ou incompletos.

Caso você nos forneça um envio qualificado de outro modo, mas não siga a Divulgação Coordenada de Vulnerabilidades – por exemplo, publicando a vulnerabilidade no momento do envio nos termos desse programa ou antes dessa data –, a Microsoft poderá considerar seu envio não qualificado nos termos desse programa. Também podemos impedi-lo de receber uma compensação em futuros programas de Recompensa da Microsoft.

QUAIS SÃO MINHAS OBRIGAÇÕES DE CONFIDENCIALIDADE AO FORNECER MEU ENVIO?

Se você encaminhar um envio para esse programa, concordará que nunca divulgará o código da exploração funcional (incluindo os binários do código) da vulnerabilidade aplicável a nenhuma outra entidade, a menos que a Microsoft disponibilize esse código para o público em geral ou você seja obrigado por lei a divulgá-lo. Isso não o impede de comentar sobre a vulnerabilidade nem de mostrar os efeitos da exploração no código. Antes de apresentar em um fórum público ou falar com a mídia, envie um email para secure@microsoft.com

ENCAMINHEI MEU ENVIO. E AGORA?

  • Você receberá uma mensagem de email informando de que recebemos seu envio.
  • Nossos engenheiros vão examinar o envio e validar sua qualificação. O tempo de análise poderá variar de acordo com a complexidade e abrangência do envio, bem como o número de envios recebidos.
  • Depois que seu envio for validado, você será contatado para fornecer a documentação necessária a fim de processarmos o pagamento.
  • Você preencherá a documentação fiscal. Depois de receber essa documentação e confirmar que é qualificado para receber o pagamento nos termos desse programa, consideraremos seu envio como qualificado e processaremos sua recompensa.

PAGAMENTOS DE RECOMPENSA:

As recompensas serão pagas a critério da Microsoft de acordo com a qualidade e complexidade da vulnerabilidade. A Microsoft retém critério exclusivo ao determinar quais envios são qualificados. A Microsoft retém critério exclusivo ao determinar quais envios são qualificados. A recompensa mínima paga por um envio qualificado é de US$ 500 até, no máximo, US$ 15.000 (que poderá ser aumentada, sujeito aos critério da Microsoft). Não existem restrições quanto ao número de envios qualificados que um indivíduo pode fornecer e pelos quais pode receber um pagamento.

Caso você não deseje receber um pagamento de recompensa pelo envio da vulnerabilidade, a Microsoft terá o prazer de trabalhar com você para doá-la a uma instituição de caridade aprovada.

Além disso, todos os indivíduos que receberem recompensas serão reconhecidos em nossa página Bounty Honor Roll (Lista de reconhecimento das pessoas que receberam recompensas)

QUEM É QUALIFICADO PARA PARTICIPAR?

Você será qualificado para participar desse programa se:

  • Você tem 14 anos de idade ou mais. Se você tiver, pelo menos, 14 anos de idade, mas for considerado menor de idade em seu local de residência, será necessário obter permissão de seu responsável ou tutor legal antes de participar desse programa;
  • Você for um indivíduo que participa em sua própria capacidade ou trabalha em uma organização que permite sua participação. Você é responsável por examinar as regras de seu empregador para participar desse programa;
  • Nenhum dos critérios de não qualificação listados abaixo em “QUEM NÃO É QUALIFICADO PARA PARTICIPAR?” se aplicar ao seu caso.

QUEM NÃO É QUALIFICADO PARA PARTICIPAR?

  • Você é um residente de um dos países sob sanções dos EUA, como Cuba, Irã, Coreia do Norte, Sudão, Síria e regiões da Crimeia;
  • Atualmente, você é um funcionário da Microsoft Corporation ou de uma subsidiária da Microsoft ou membro da família imediato (pai, irmão, cônjuge ou filho) ou parente de tal funcionário;
  • No período que abrange seis meses antes do envio, você era um funcionário da Microsoft Corporation ou de uma subsidiária da Microsoft;
  • No período que abrange seis meses antes do envio, você prestou serviços para a Microsoft ou para uma subsidiária da Microsoft em uma capacidade de equipe externa que exigia o acesso à Rede Corporativa da Microsoft, como um trabalhador de agência temporário, funcionário que atua com fornecedores, convidado de negócios ou prestador de serviços; ou
  • Atualmente, você presta serviços para a Microsoft ou para uma subsidiária da Microsoft em uma capacidade de equipe externa que exige o acesso à Rede Corporativa da Microsoft, como um trabalhador de agência temporário, funcionário que atua com fornecedores, convidado de negócios ou prestador de serviços;
  • Você está envolvido em qualquer parte da administração e/ou execução desse programa.

As decisões tomadas pela Microsoft são definitivas e vinculantes. A Microsoft poderá cancelar esse programa a qualquer momento, por qualquer motivo. Leia atentamente todos esses termos antes de nos encaminhar os envios.Caso você nos encaminhe um envio para esse programa, isso indicará seu consentimento com esses termos. Se você não deseja concordar com esses termos, não nos encaminhe nenhum envio nem, de outro modo, participe desse programa.

PERGUNTAS FREQUENTES E REQUISITOS DO PROGRAMA DE RECOMPENSA

É sua responsabilidade estar em conformidade com os Termos Abrangentes –Programa de Recompensa da Microsoft listados nas Perguntas Frequentes. Consulte as Perguntas Frequentes sobre o Programa de Recompensa da Microsoft para obter instruções detalhadas sobre:

  1. Relatório de bugs à Microsoft
  2. Processo de triagem e pagamento da Microsoft
  3. Critérios de qualificação para participação
  4. Políticas de pagamento de recompensa
  5. Suas obrigações de confidencialidade
  6. Política de privacidade e aviso legal da Microsoft
  7. Outras perguntas sobre os diversos programas de recompensa da Microsoft
  8. Divulgação Coordenada de Vulnerabilidades

POLÍTICA DE PRIVACIDADE

Consulte a política de privacidade desse programa.

AVISO LEGAL:

Para obter mais informações sobre as diretrizes legais da Microsoft, acesse as Perguntas frequentes e role a página até 'Aviso Legal'

Agradecemos sua participação no Programa de Recompensa por Descoberta de Bugs da Microsoft!

MSRC Blog

SRD Blog