Microsoft ha inaugurado hoy un programa de recompensas para .NET Core y ASP.NET Beta, los cuales son parte de la suite de desarrollo de Visual Studio.
El programa permanecerá abierto hasta el 20 de enero y pagos oscilan entre $500 y $15,000 USD.
Microsoft dijo que sólo los errores en tiempo de ejecución (runtime) del núcleo .NET [CoreCLR] y versiones beta de ASP.NET son elegibles.
"Esta recompensa es particularmente interesante porque las librerías y funciones incluidas en .NET permiten a los desarrolladores escribir sus propios programas con gran seguridad y estabilidad, cada vez más en muchos sistemas operativos", escribió Jason Shirk, director del Centro de Respuesta de Seguridad de Microsoft (MSRC) en un blog publicado hoy. "Esto va a extender a todas las plataformas soportadas, incluyendo inicialmente Linux y OS X, con algunas exclusiones actuales a plataformas no Windows."
Incluyendo el anuncio de hoy, Microsoft ahora tiene cuatro programas abiertos. Una recompensa de los servicios en línea se abrió 23 de septiembre 2014 y se aplica a las vulnerabilidades encontradas en los servicios en línea elegibles de Microsoft como Office 365 y servicios de Azure. Este es un programa en curso para la Mitigation Bypass Bounty y el Bounty for Defense. Microsoft pagará hasta $ 100,000 en las dos últimas recompensas, mientras que la recompensa servicios en linea pagará hasta $ 15.000.
Los programas de Core .NET Y ASP.NET beta de hoy son los segundos programas de Microsoft en las vulnerabilidades individuales de software. Hasta el Bounty Online Services, Microsoft se había centrado principalmente en el pago de nuevas técnicas defensivas y explotar mitigaciones, optando por mantenerse alejado de la investigación ofensiva estrictamente gratificante.
Microsoft ya ha entregado una serie de premios de seis cifras en el Bounty for Defense y el Mitigation Bypass a investigadores que han explotado con éxito exploits mitigados de Windows, incluyendo ASLR, DEP, SEHOP y más, así como recompensar a un investigador con $200.000 por una nueva técnica para defenderse de ataques de programación orientada a retornos (ROP).
