不少科技公司都有出漏洞獎金計劃,以鼓勵白帽黑客維護系統或網絡安全,以不是將漏洞販賣洩露。不過,近日安全研究人員 MalwareTechBlog 在 Twitter 上發帖抱怨,指微軟調整了漏洞賞金計劃,導致一個他發現的漏洞,獎金金額由 10000 美元跌至 1000 美元。
- 安全研究人員 MalwareTechBlog 在 Twitter 上發帖抱怨
- 獎金金額由 10000 美元跌至 1000 美元
- Abdelhamid Nacer 索性直接公開他在 Windows 系統中發現的一個漏洞
【相關報道】
據外國媒體報道,微軟在 2020 年 4 月之後調整了獎金計劃,令金額大幅下降,引起了安全研究人員不滿,其中之一便有 Abdelhamid Naceri。早前他研究 CVE-2021-41379 更新檔時,索性直接公開他發現的一個漏洞。
據悉 Naceri 披露的漏洞,可讓普通用戶提取並獲得 SYSTEM 系統權限,而該漏洞利用是基於微軟的更新軟件而開發的,而且 Naceri 認為,微軟之後也沒有正確修補漏洞,反之帶來更多隱患。至今這個 InstallerFileTakeOver 漏洞,仍影響 Windows 10、Windows 11 和 Windows Server 等多個系統版本。Naceri 指透過這個漏洞,黑客可取得他人的電腦的權限。
直至目前,微軟仍未對的 Abdelhamid Naceri 指責作出回應。
【相關報道】
Source:mspoweruser