Adana Adıyaman Afyon Ağrı Aksaray Amasya Ankara Antalya Ardahan Artvin Aydın Balıkesir Bartın Batman Bayburt Bilecik Bingöl Bitlis Bolu Burdur Bursa Çanakkale Çankırı Çorum Denizli Diyarbakır Düzce Edirne Elazığ Erzincan Erzurum Eskişehir Gaziantep Giresun Gümüşhane Hakkari Hatay Iğdır Isparta İstanbul İzmir K.Maraş Karabük Karaman Kars Kastamonu Kayseri Kırıkkale Kırklareli Kırşehir Kilis Kocaeli Konya Kütahya Malatya Manisa Mardin Mersin Muğla Muş Nevşehir Niğde Ordu Osmaniye Rize Sakarya Samsun Siirt Sinop Sivas Şanlıurfa Şırnak Tekirdağ Tokat Trabzon Tunceli Uşak Van Yalova Yozgat Zonguldak
İstanbul 26 °C
Gök Gürültülü

Microsoft, Yazılım Hatalarını bildirenlere 13,7 Milyon Dolar Ödül Verdi

20.08.2020
73
Microsoft, Yazılım Hatalarını bildirenlere 13,7 Milyon Dolar Ödül Verdi

Microsoft, geçen yıl güvenlik araştırmacılarına yaptığı hata ödülü ödemelerini üç katına çıkardı.

Microsoft, geçen yılın Temmuz ayından bu yana Microsoft yazılımındaki hataları bildirdikleri için güvenlik araştırmacılarına 13.7 milyon dolar ödül verdiğini açıkladı. 

Microsoft’un hata ödülleri, yazılım hatalarını araştıran araştırmacılar için en büyük finansal ödül kaynaklarından biridir ve daha da önemlisi, bunları yeraltı pazarları aracılığıyla siber suçlulara satmak veya devlet kurumlarına dağıtan aracıları kullanmak yerine ilgili satıcıya bildirir. 

Redmond şirketinin, araştırmacıların 1 Temmuz 2019 ile 30 Haziran 2020 arasında 13.7 milyon ABD doları netleştirdiği 15 hata ödül programı var. Bu rakam, önceki yılın aynı döneminde verdiği 4,4 milyon ABD dolarının üç katı.

Microsoft Güvenlik Yanıt Merkezi üyeleri bir blog yayınında, “Düşmanlar onları sömürmeden önce güvenlik sorunlarını ortaya çıkarmak ve bildirmek için zaman ayıran araştırmacılar, toplu saygı ve minnettarlığımızı kazandılar” dedi. 

Microsoft’a ve diğer satıcılara hata ödülleri yoluyla bildirilen kusurlar, bir satıcı onları engellemek için bir güvenlik yaması sağlamadan önce saldırganların sistemleri tehlikeye atmak için kullanabilecekleri sözde sıfır gün açıklarından yararlanma olaylarının sayısını azaltmaya yardımcı olabilir. Kullanıcılara yamalar sağlamak, güvenlik açığı ortaya çıktıktan sonra sistemleri saldırılardan korumaya da yardımcı olur.  

Microsoft’un toplam yıllık hata ödülü ödemeleri, Google’ın yazılımındaki güvenlik kusurları için verdiği ödüllerden çok daha büyüktür ve bu ödül 2019 takvim yılında toplam 6,5 milyon ABD dolarıdır . Bu rakam, “rekor kıran bir yıl” olarak nitelendirilen reklam ve arama devinden önceki yıla ait ödemelerin iki katıydı. 

Google’ın hata arama ekibi, Google Project Zero veya GPZ tarafından yayınlanan yeni verilere göre, Microsoft’un hata ödülü ödemelerine yaptığı daha büyük harcamalar haklı gösterilebilir. 

GPZ bu hafta , yılın ilk yarısında vahşi ortamda istismar edilen 11 sıfır gün güvenlik açığı olduğunu ortaya çıkardı. Bu kötüye kullanımların keşfi nadirdir: Microsoft, yalnızca Mart ayında 115 güvenlik açığına yama uyguladı. Ancak Microsoft yazılımı, Google’ın 2020’de vahşi ortamda kullanıldığını keşfettiği 11 istismardan dördünü oluşturuyordu. 

Microsoft’un kusurları, Microsoft’un Şubat ayında yaması gerçekleştirdiği Internet Explorer CVE-2020-0674’teki hatayı içeriyordu. Ardından, Microsoft’un bu yıl yayımlanan yamalarından önce kötüye kullanılan üç Windows bellek bozulması hatası vardı. 

2019’da, GPZ istatistiklerine göre, o yıl saldırıya uğrayan 20 sıfır günün 11’i Microsoft ürünlerini etkiledi ve bu, Google da dahil olmak üzere diğer tüm satıcıların sıfır gün kullanımından çok daha yüksekti. 

Ancak Google, Windows hatalarını tespit etmede uzmanlaşmış daha fazla güvenlik aracı olduğu için Microsoft’a karşı algılama önyargısı olduğunu belirtti.

Microsoft, bu yılki yüksek toplam ödemelerin altı yeni ödül programı ve iki yeni araştırma hibesi başlatması olduğunu söylüyor. Bunlar, 300’den fazla araştırmacının 1.000’den fazla uygun raporunu çekti. 

Microsoft ayrıca COVID-19 sosyal mesafesinin güvenlik araştırma faaliyetlerinde bir artışa neden olduğunu öne sürüyor. 

Microsoft, “Ödül programlarımızın 15’inde, salgının ilk birkaç ayında güçlü araştırmacı katılımı ve daha yüksek rapor hacmi gördük,” dedi. 

Microsoft’un bu dönemde başlattığı Microsoft ödülleri şunları içeriyordu: 

  • Microsoft Dynamics 365 Bounty Programı, Temmuz 2019’da başlatıldı
  • Azure Security Lab, Ağustos 2019’da kullanıma sunuldu
  • Chromium Bounty Programında Microsoft Edge, Ağustos 2019’da başlatıldı
  • Seçim Muhafızı Ödül Programı, Ekim 2019’da başlatıldı
  • Xbox Bounty Programı, Ocak 2020’de başlatıldı
  • Azure Sphere Security Research Challenge, Mayıs 2020’de başlatıldı

ZİYARETÇİ YORUMLARI - 0 YORUM

Henüz yorum yapılmamış.