Un bug bounty pour CoreCLR, ASP.NET 5 et Visual Studio 2015
ven, 23/10/2015 - 11:10
Plus nos plates-formes seront sûres, plus vos applications le seront. C'est en enfonçant cette porte ouverte que Microsoft a annoncé un programme de chasse aux vulnérabilités, ou bug bounty, concernant les versions bêta de Microsoft CoreCLR, ASP.NET 5 ainsi que les templates ASP.NET 5 fournis par défaut dans l'outil ASP.NET Web Tools Extension for Visual Studio 2015.
Sont toutefois exclues de ce programme dans un premier temps les piles réseau sous Linus et OS X de la beta 8, la dernière bêta en cours. Ces piles réseau seront intégrées au bug bounty un peu plus tard, dès qu'elles présenteront la stabilité et la sécurité de la pile réseau version Windows, nous dit le billet.
Comme toujours dans les bugs bounty, les chercheurs peuvent chercher des vulnérabilités tous azimuts. Les vulnérabilités reportées devront être inédites - cela va sans dire, mais pour Microsoft cela va encore mieux en le disant :-) - et des rapports facilement compréhensibles devront fournis. Pour certaines vulnérabilités, un exploit fonctionnel sera également demandé.
Les montants des primes s'échelonnent de 500 à 15 000 dollars. Les failles les moins bien rémunérées sont les vulnérabilités en Cross-Site-Scripting (ou XSS), les mieux rémunérées, sont, tout à fait classiquement, celles qui permettent une exécution à distance.
Ce bug bounty est détaillé ici.