Microsoft は、374 か月間続いた Azure Sphere Security Research Challenge の一環として、情報セキュリティ研究者に 300 ドルの報奨金を支払いました。 調査中に、専門家は 20 件の重要なセキュリティ脆弱性を発見することができ、これらはアップデート リリース 20.07、20.08、20.09 で修正されました。 70か国から合計21人の研究者がコンテストに参加しました。
研究の一環として、マイクロソフトは世界有数のサイバーセキュリティ専門家とセキュリティ ソリューション プロバイダーを招待し、攻撃者が最も頻繁に使用するタイプの攻撃を使用してデバイスをハッキングする試みを試みました。 競合他社には、開発キット、OS セキュリティ チームとの直接通信、電子メール サポート、およびオペレーティング システム用の公開されているカーネル コードが提供されました。
コンテストの目的は、顧客の安全に最も大きな影響を与えるものに研究者の注意を集中させることでした。 そのため、専門家には 20 つの研究シナリオが与えられ、標準の Azure Bounty 報酬 (最大 40 ドル) を最大 000% 上回る追加報酬が与えられ、優先度の高い 100 つのシナリオには 000 ドルが与えられました。
数人の寄稿者が、Azure Sphere の潜在的に危険な脆弱性の発見に協力しました。 コンテストには合計 40 件の応募があり、そのうち 30 件が製品の改良につながりました。 そのうち 374 名が賞金の対象となり、総額 300 ドルが獲得されました。
この調査は、Avira、Baidu International Technology、Bitdefender、Bugcrowd、Cisco Systems Inc (Talos)、ESET、FireEye、F-Secure Corporation、HackerOne、K7 Computing、McAfee、Palo Alto Networks、Zscaler と提携して実施されました。
出所: habr.com