Microsoft artık, kodun Microsoft tarafından mı yoksa üçüncü bir tarafça mı yazıldığına bakılmaksızın, çevrimiçi hizmetlerinden herhangi birinde kritik güvenlik açıklarını bulmaları için güvenlik araştırmacılarına ödeme yapıyor.
Bu politika değişikliği Çarşamba günü Black Hat Avrupa'da Microsoft Güvenlik Yanıt Merkezi mühendislikten sorumlu başkan yardımcısı Tom Gallagher tarafından duyuruldu.
Gallagher'ın açıkladığı gibi, saldırganlar güvenlik açıklarından yararlanırken Microsoft kodu ile üçüncü taraf bileşenleri arasında ayrım yapmıyor, bu da şirketin hata ödül programını varsayılan olarak tüm Microsoft çevrimiçi hizmetlerini kapsayacak şekilde genişletmesine ve tüm yeni hizmetlerin piyasaya sürüldüğü anda kapsama dahil olmasına neden oluyor.
Program artık Microsoft çevrimiçi hizmetlerini etkiliyorsa, ticari veya açık kaynak bileşenler de dahil olmak üzere üçüncü taraf bağımlılıklarındaki güvenlik kusurlarını da içeriyor.
Gallagher, "Bugünden itibaren, kritik bir güvenlik açığının çevrimiçi hizmetlerimiz üzerinde doğrudan ve kanıtlanabilir bir etkisi varsa, ödül ödülü almaya hak kazanır. Kodun Microsoft'a, üçüncü tarafa ait olup olmadığına veya açık kaynak olup olmadığına bakılmaksızın, sorunu düzeltmek için ne gerekiyorsa yapacağız" dedi.
"Hedefimiz, en yüksek riskli alanlarda, özellikle de tehdit aktörlerinin istismar etme olasılığının en yüksek olduğu alanlarda araştırmayı teşvik etmektir. Ödül programlarının bulunmadığı durumlarda, güvenlik araştırma topluluğunun çeşitli içgörülerini, uzmanlıkları onları nereye götürürse götürsün tanıyacağız ve ödüllendireceğiz."
Microsoft, son 12 ayda 344 güvenlik araştırmacısına 17 milyon doların üzerinde ödül ödülü ödedi ve önceki yıl da 343 güvenlik araştırmacısına 16,6 milyon dolar daha ödedi.
Bugünkü duyuru, Microsoft'un şirketin tüm operasyonlarında güvenliğe öncelik vermek üzere tasarlanan daha geniş Güvenli Gelecek Girişiminin bir parçasıdır.
Aynı girişimin bir parçası olarak Microsoft, Microsoft 365 ve Office 2024 uygulamalarının Windows sürümlerindeki tüm ActiveX denetimlerini de devre dışı bıraktı ve eski kimlik doğrulama protokolleri aracılığıyla SharePoint, OneDrive ve Office dosyalarına erişimi engellemek için Microsoft 365 güvenlik varsayılanlarını güncelledi.
Yakın zamanda, toplantılar sırasında ekran yakalama girişimlerini engellemek için yeni bir Teams özelliğini kullanıma sunmaya başladı ve Entra ID oturum açma işlemlerini komut dosyası ekleme saldırılarına karşı korumaya yönelik planlarını duyurdu.
Bozuk IAM yalnızca bir BT sorunu değildir; etkisi tüm işletmenize yayılır.
Bu pratik kılavuz, geleneksel IAM uygulamalarının neden modern taleplere ayak uydurmakta başarısız olduğunu, "iyi" IAM'nin neye benzediğine dair örnekleri ve ölçeklenebilir bir strateji oluşturmak için basit bir kontrol listesini kapsar.
Yeni Windows RasMan sıfır gün kusuru ücretsiz, resmi olmayan yamalar alıyor
Microsoft, Windows Gezgini'nin karanlık modda beyaz yanıp sönmesini düzeltir
Microsoft Aralık 2025 Yaması Salı, 3 sıfır gün ve 57 kusuru düzeltti
Microsoft, Windows 10 KB5071546 genişletilmiş güvenlik güncelleştirmesini yayımladı
Windows PowerShell artık Invoke-WebRequest komut dosyalarını çalıştırırken uyarı veriyor
Kaynak: Bleeping Computer