微軟近一年發放了1億元漏洞賞金：平均每個漏洞8.5萬元；新谷歌 Chrome 零日漏洞已遭在野利用

微軟近一年發放了1億元漏洞賞金：平均每個漏洞8.5萬元

335名白帽子，近一年共提交1091個有效漏洞報告，斬獲近億元獎金，平均每人可領取超27萬元。

安全內參8月18日消息，微軟官方宣布，在過去12個月中（2021.7-2022.6），他們通過漏洞獎勵計劃支付了1370萬美元（約9299萬元）獎金。

作為全球知名科技巨頭，微軟公司目前擁有17個漏洞獎勵計劃，廣泛涵蓋服務、桌面應用程序與操作系統、機密級虛擬化解決方案等資產，甚至還專門為ElectionGuard開源軟件開發工具包（SDK）設置了相應項目。

如果能發現Hyper-V中的遠程代碼執行、信息泄露或拒絕服務（DoS）之類的嚴重漏洞，參與微軟漏洞獎勵計劃的安全研究人員最高可以拿到25萬美元的高額獎金。

事實上，微軟在2021年7月1日到2022年6月30日期間，發出的最大單筆獎金達到20萬美元，獎勵的是Hyper-V虛擬機管理程序中的一個嚴重漏洞。

在這12個月中，共有超過330名安全研究人員通過微軟漏洞獎勵計劃拿到了獎金，平均每個漏洞的獎金超過12000美元（約8.5萬元）。

圖：參與微軟漏洞獎勵計劃的研究人員地理分布

微軟公司表示，他們正根據研究人員的反饋改進現有漏洞獎勵計劃。今年，該公司還打算進一步引入新的研究挑戰和高影響攻擊場景。

新增及更新內容將包括Azure SSRF挑戰賽，Edge獎勵計劃納入Android與iOS平臺版本，將本地Exchange、SharePoint及Skpye for Business納入多個漏洞獎勵計劃，并為Azure、M365、Dynamics 365以及Power Platform等獎勵計劃添加高影響攻擊場景。

微軟公司總結道，“將這些攻擊場景引入Azure、Dynamics 365、Power Platform以及M365獎勵計劃，將幫助我們把研究重點集中在影響最大的云漏洞上，具體涵蓋Azure Synapse Analytics、Key Vault及Azure Kubernetes服務等領域。”

新谷歌 Chrome 零日漏洞已遭在野利用

谷歌周二推出了適用于桌面的Chrome瀏覽器補丁，來解決在野外積極利用的高嚴重性零日漏洞。

跟蹤為CVE-2022-2856，該漏洞是關于對Intents中不可信輸入驗證不足的情況。安全研究人員Ashley Shen和谷歌威脅分析集團的Christian Resell于2022年7月19日報告了該漏洞。

與通常的情況一樣，在更新大多數用戶之前，這家科技巨頭都沒有透露關于該漏洞的更多細節。“谷歌意識到CVE-2022-2856漏洞存在于野外。”它在一份簡短的聲明中承認。

最新更新進一步解決了其他10個安全漏洞，其中大部分與FedCM、SwiftShader、ANGLE和Blink等各種組件中的use-after-free漏洞有關，同時還修復了下載中的堆緩沖區溢出漏洞。

這是谷歌自年初以來修復的第五個Chrome零日漏洞：

CVE-2022-0609 – 動畫中的Use-after-free

CVE-2022-1096 – V8中的類型混淆

CVE-2022-1364 – V8中的類型混淆

CVE-2022-2294 – WebRTC中的堆緩沖區溢出

建議用戶更新到適用于macOS和Linux的104.0.5112.101版本，以及適用于Windows的104.O.5112.102/101版本，以緩解潛在威脅。基于Chromium瀏覽器（如Microsoft Edge、Brave、Opera和Vivaldi）的用戶也建議應用修復程序。