В прошлом месяце компания Microsoft объявила о запуске нескольких программ поиска уязвимостей в своих новейших продуктах, Windows 8.1 Preview и Internet Explorer 11 Preview. Несколько недель спустя стало известно, что первые денежные вознаграждения нашли своих владельцев.
В рамках программы IE11 Preview Bug Bounty главный денежный приз получил эксперт в области безопасности Иван Фратрич (Ivan Fratric). Это уже не первый его приз от Microsoft: в прошлом году Фратрич получил $50 тысяч и занял второе место в рамках другой программы, Microsoft BlueHat Prize. Тогда он создал приложение ROPGuard, которое фиксировало и предотвращало ROP-атаки (return-oriented programming, возвратно-ориентированное программирование).
В настоящее время Фратрич сам работает в компании, по масштабам не уступающей Microsoft, а именно в Google. До октября же прошлого года его местом работы был Загребский Университет, факультет электротехники и вычислительной техники.
Представитель Microsoft Security Response Center Кэти Муссурис (Katie Moussouris) в прошлую среду сообщила в блоге о том, что сообщество в области компьютерной безопасности с энтузиазмом отреагировало на инициативу компании. Microsoft в скором времени создаст специальную страницу, где будет вывешен список всех награждённых и их достижения.
Компания на протяжении многих лет не одобряла идею проведения подобных мероприятий по поиску уязвимостей в своих программных продуктах за вознаграждение. Вместо этого Microsoft поощряла разработку активных систем защиты, которые способны блокировать целые классы эксплоитов – именно к таким мероприятиям и относится BlueHat Prize.
Поиск уязвимостей в рамках программы IE11 Preview Bug Bounty продлится до 26 июля, максимальное обещанное вознаграждение составляет $11 тысяч, хотя при нахождении особо опасных уязвимостей сумма может быть увеличена. Что именно представляет собой найденная Франтичем уязвимость, не разглашается. В конце июня он опубликовал в Twitter запись о проблеме с повреждением памяти в IE 11 Preview, так что речь может идти именно об этом.