Si encuentro una vulnerabilidad de Microsoft, ¿obtengo crédito por informarla directamente a Microsoft?

2

Sé que si descubre una vulnerabilidad en un producto de código abierto, tiene la opción de solucionarlo usted mismo, creando un informe de error u otros métodos para demostrar que ha contribuido a Internet (lea la sociedad si lo desea) como un todo de alguna manera.

Si encontré una vulnerabilidad y la envié a Microsoft (y la reconocieron como tal), ¿existe una manera similar de probar que efectivamente proporcioné información? Si es así, ¿cuál es este método? Correo electrónico / enlace en el sitio de Microsoft / letra de Good Guy.

Para evitar que esta pregunta se convierta en una discusión (y se cierre de inmediato), limite sus respuestas a los siguientes criterios:

  • Por favor, asuma la divulgación responsable como se define: ¿Existe un "estándar" para informar las vulnerabilidades de seguridad que podemos usar? utilizando la respuesta de @void_in
  • Por favor, no hay discusiones éticas (aunque es importante, no pregunto aquí)
  • Si le ayuda a encuadrar la pregunta, esto sería con respecto a la prueba para un currículum vitae / CV
  • El tiempo no es un problema. Asumiría que no pasaría nada hasta al menos una actualización del parche del martes
pregunta DarkSheep 18.10.2013 - 02:56
fuente

1 respuesta

6

¡Sí! La política de Microsoft parece ser que si informas la vulnerabilidad de forma responsable, obtendrás una mención en el agradecimientos sección de boletines de seguridad . También esperaría una correspondencia de ida y vuelta sobre el tema que podría conservar como prueba adicional.

  

Cuando vea a un profesional de seguridad reconocido en un Microsoft   Boletín de Seguridad, significa que nos reportaron la vulnerabilidad.   confidencialmente, trabajó con nosotros para desarrollar el parche y nos ayudó   difundir información al respecto una vez eliminada la amenaza. Ellos   minimizado la amenaza para los clientes en todas partes asegurando que   Microsoft podría solucionar el problema antes de que los usuarios malintencionados lo supieran   existió.

La sección de agradecimientos sí incluye detalles considerables, nombrando a individuos y organizaciones. Por ejemplo, el boletín de octubre de 2013 menciona (entre otros):

  • [email protected], en colaboración con Zero Day Initiative de HP, para informar la vulnerabilidad de daños en la memoria de Internet Explorer (CVE-2013-3872)

¡Sin duda quedaría muy bien en tu CV!

    
respondido por el scuzzy-delta 18.10.2013 - 03:52
fuente

Lea otras preguntas en las etiquetas