En las últimas horas tanto Google como Microsoft han anunciado un incremento en sus recompensas por la identificación de vulnerabilidades en sus productos. En Google han centrado este aumento en las vulnerabilidades de ejecución de código remoto y por su parte Microsoft centra su foco en Office 365 y Outlook.
Ambas compañías han aumentado notablemente las recompensas al tratarse cada vez de vulnerabilidades más difíciles de localizar y por tanto que conllevan más tiempo en poderse detectar por parte de los investigadores de seguridad. Como decíamos, Google sigue pagando especialmente bien las vulnerabilidades de ejecución de código remoto a casi el triple (en concreto 31000$) que el resto aunque sigue ofreciendo pagos por xss, crsf, scripts de contenido mezclado, fallos en autenticación y fallos en ejecución de código en servidor en sus dominios de *.google.com , *.youtube.com y *.blogger.com. En el siguiente link podéis ver el listado completo de recompensas de Google, y los de Android y Chrome que van por separado.
Por su parte Microsoft, también ha incrementado las recompensas, doblando algunas de ellas, pero en este caso por un tiempo limitado de 2 meses. De nuevo nos encontramos con xss, csrf, vulnerabilidades de inyección de código, fallos de autenticación, fallos en ejecución de código en servidor, elevación de privilegios,etc... en este caso para los siguientes dominios portal.office.com, outlook.office365.com, outlook.office.com y *.outlook.com
Obviamente no es sencillo encontrar alguna de estas vulnerabilidades, pero sin duda los investigadores que consiguen especializarse en este campo se ganan muy bien la vida y de paso colaboran en que todo el resto de usuario estemos un poco más seguros.
Fuente Google
Fuente Microsoft
