热搜话题榜单

过去一年，微软为安全漏洞奖励支出1370万美元

微软透露，自去年 7 月以来，它已向安全研究人员奖励了 1370 万美元，用于鼓励提交微软软件漏洞的行为。

100万元！开源鸿蒙OpenHarmony推出安全漏洞奖励计划

今天OpenHarmony社区宣布，为了社区软件版本的安全性，诚挚邀请上报OpenHarmony社区的疑似安全漏洞，共同守护OpenHarmony安全。从即日起至2024年12月31日，推出OpenHarmony漏洞奖励计划奖金额外激励活动。OpenHarmony开源四年已成为主流的开源项目之一，目前有超过8100名代码共建者，贡献代码超过1.2亿行，以OpenHarmony为底座的鸿蒙生态设备数量超过10亿台。

Google 扩展其漏洞奖励计划以增强生成式人工智能系统的安全性

Google宣布，将扩展其漏洞奖励计划，以奖励研究人员寻找针对生成式人工智能系统的攻击方案，以增强AI的安全性和安全性。Google的LaurieRichardson和RoyalHansen表示：「生成式AI带来了与传统数字安全不同的新问题，例如可能存在的不公平偏见、模型操作或数据误解。连同Anthropic和微软宣布了创建一个1000万美元的AI安全基金，专注于推动AI安全领域的研究。

微软推出Bing AI漏洞悬赏计划 最高奖励1.5万美元

微软最近宣布推出了一项名为"BingAI漏洞悬赏计划"的新举措，旨在鼓励安全研究人员发现BingAI产品中的漏洞。这一计划提供了丰厚的奖金，奖励范围从2，000美元到15，000美元，以吸引全球范围内的研究人员参与。但微软首席技术官KevinScott最近告诉TheVerge的NilayPatel，他们目前取得的市场份额增长只是“小幅增长”，尽管他们是以一种前所未见的方式做到的。

Google宣布扩展针对开源软件的新一期漏洞奖励计划

Google早在2010年就推出了漏洞奖励计划（VRP）...本VRP所涵盖的两类开放源码软件定义如下：...储存在Google旗下GitHub组织的公共存储库中的所有最新版本的开源软件（包括存储库设置）...奖励从100美元开始，最高可达31337美元，上限通常针对更敏感的项目，如Bazel、Angular、Golang、协议缓冲区和Fuchsia...早在4月，Google承诺支持开源安全基金会（OpenSSF）的软件包分析项目，以检测恶意的开源软件包也...

Bug找不过来了！微软漏洞悬赏增加30%赏金：最高可达16万元

一直以来，微软都有着一套漏洞悬赏计划，会为发现严重影响系统安全漏洞的用户提供高额的赏金，微软再次提高了悬赏的力度...微软宣布了两项新的悬赏计划，在原本最高2万美元的赏金基础上，增加了最高30%的额外赏金，使最高赏金达到了26000美元（约合人民币16.6万元）...有用户认为，微软提高对漏洞的悬赏力度，侧面证明微软现在面对Windows系统存在的高危漏洞已经力不从心，需要依靠用户完成对Bug的检查工作......

最多缩水90% 安全研究人员对微软漏洞赏金感到失望

部分安全研究人员指出，微软正大幅削减漏洞赏金的金额，最多缩水 90%。例如，去年马库斯·哈钦斯（网名 MalwareTech）说，他的一个零日发现的漏洞赏金价值被减少到 1000 美元，而之前是 10000 美元。其他一些人也表达了类似的看法。例如，最近一位 Hyper-V 研究人员和 Twitter 用户 @rthhh17 表示，微软的奖励计划认为他的 Hyper-V 远程代码执行（RCE）漏洞只值 5000 美元。从他的Twitter上看，在研究过程中，应该能获得更高的金额

最高奖励800万！华为启动终端安全漏洞奖励计划

10月22日，华为开发者大会2021今日在东莞松山湖开幕，会上，华为除发布HarmonyOS 3开发者预览版、HMS Core 6等一系列领先的开发技术、工具和平台外。官方还宣布，截止目前，HarmonyOS已在超过1.5亿智能手机、平板、手表、智慧屏等设备上应用，成为万物智联时代的数字底座。除此以外，在大会上，华为启动了终端安全漏洞奖励计划，单漏洞最高奖励150万元，系统性漏洞最高奖励800万元。据介绍，华为将携手业界白帽安全专家，共同守护?

微软花费1370万美元奖励漏洞发现者 是去年同期的三倍

据国外媒体报道，自冠状病毒爆发以来，“居家令”激发漏洞找茬员极大的热情，微软漏洞悬赏计划支付的金额在过去一段时间呈爆炸式增长。微软公司当地时间本周二表示，在截至2020年6月30日的12个月里，该公司已经花费1370万美元奖励产品漏洞发现者，比上一年度同期的440万美元多出逾两倍。微软直言，疫情封锁限制措施在此间扮演了极其重要的角色。因为找茬员被迫呆在家里，同时又面临失业风险，于?

多操作系统平台资产风险状况研究：微软漏洞最多

Kenna Security 发布了一份新的报告，其中对 Microsoft、Linux 和 Mac 资产的风险状况进行了研究。Cyentia 研究所撰写了《 Prioritization to Prediction： Volume 5： In Search of Assets at Risk》报告，该报告基于 Kenna Security 来自 450 个组织的 900 万资产的数据。

Mozilla将报告Firefox漏洞奖励提高到1万美元

Mozilla日前表示，其正在更新漏洞奖励政策和奖金，从而吸引更多的研究人员提交漏洞报告。现在，报告沙盒逃逸和相关的漏洞将有资格获得 8000 美元的奖励，高质量的报告奖励的奖金高达 10000 美元。此外， 绕过代理bug有资格获得最少3， 000 美元，高质量的报告高达5， 000 美元。

GitHub开源代码分析引擎CodeQL 同步启动3000美元漏洞奖励计划

GitHub 在全球开发者大会上宣布启动了一个名为“安全实验室 (Security Lab)”的新社区计划。该计划中，GitHub 不仅开源了代码分析引擎 CodeQL，还设置了奖励金最高为 3000 美元的漏洞奖励计划。

苹果将为黑客提供特别版 iPhone，并宣布 Mac 漏洞奖励计划

据凤凰科技报道，苹果将在黑帽安全大会上宣布为安全研究人员提供特别版 iPhone，以便于黑客寻找 iPhone 弱点。此外，苹果还将宣布 Mac 漏洞奖励计划，找到 MacOS 漏洞的研究者将获得奖励。

GitHub扩大漏洞奖励项目范围：取消奖金上限

据美国科技媒体VentureBeat报道，微软旗下的GitHub今天加大了漏洞奖励项目力度，不仅扩大项目范围，而且增加了奖金金额，还为其政策增加了法律安全港条款。

微软给360白帽黑客送出了137万漏洞挖掘奖励

​今天， 360 安全卫士官方宣布， 2019 年刚开始，微软向 360 白帽黑客送出了史上最高一笔漏洞挖掘奖励，总额高达 20 万美元(约合人民币 137 万)的奖金。

美国国防部“黑掉空军”漏洞奖励计划即将启动

“Hack the Air Force”项目的注册将于 5 月 15 日开启，演习的举办时间为 5 月 30 日到 6 月 23 日。

瑞星成微软MAPP伙伴 快速获微软漏洞补丁

微软MAPP计划全称为Microsoft ActiveProtectionsProgram，该计划的目的是为了整合全球安全方面的资源，经过严格考核的顶级安全厂商，可以提早获取微软漏洞的相关信息，IBM、思科都是加入该计划的早期成员。

看个文件就被盗号！微软Windows 7-11全版本曝出高危零日漏洞

近日0patch团队表示，从Windows7、WindowsServer2008R2到最新的Windows1124H2和WindowsServer2022，都存在一个高危零日漏洞。攻击者可通过诱使用户在Windows文件管理器中查看恶意文件，无需打开文件，即可窃取用户的NTLM凭据。0patch平台为用户提供了针对该漏洞的免费微补丁，用户也可以考虑通过组策略或修改注册表禁用NTLM身份验证，以降低风险。

​研究者揭露微软 Windows 内核的操作系统降级漏洞

安全研究人员发现了一种新型攻击技术，能够绕过微软的驱动程序签名强制执行，甚至在完全修补的Windows系统上实施操作系统降级攻击。SafeBreach的研究员AlonLeviev在报告中指出，这种绕过方法可以加载未签名的内核驱动程序，使攻击者能够部署自定义根kit，进削弱安全控制，隐藏进程和网络活动，保持隐秘等。为了有效地减轻这种攻击风险，确保VBS处于启用状态并设置UEFI锁和强制标志是至关重要的。

微软多款macOS应用曝出新漏洞，黑客可轻松获取敏感信息

网络安全公司CiscoTalos揭露了微软在macOS平台上几款应用程序中存在的八个漏洞。这些漏洞使得攻击者可以绕过macOS的权限管理系统，从获取用户敏感数据或提升权限。尽管对第三方插件进行公证是一种选择，但这也相对复杂，需要微软或苹果在验证安全性后，对这些模块进行签名。