微软公布Microsoft Teams抓漏奖励专案，最高奖金3万美元

微软本周揭露了全新的应用程序抓漏专案（Applications Bounty Program），准备针对微软的各种应用程序祭出抓漏奖励，奖金从500美元到3万美元不等，第一个上线的是Microsoft Teams。

虽然Teams具备支援Windows、macOS与Linux的桌机版，也提供支援Android及iOS的行动版，但本周微软揭露的抓漏专案仅适用于桌机版，至于Teams Online线上版的漏洞，则被隶属于线上服务抓漏专案（Online Services Bounty Program）。

Teams抓漏方案主要分为高影响力的情境奖励（Scenario Awards）与一般奖励（General Awards），情境奖励的奖金从6千美元到3万美元不等，漏洞范围包括：发现XSS或其它的程式注入途径，而得以执行任意脚本程式（需或不需要使用者互动）、可穿越操作系统使用者边界的权限扩张漏洞、非利用网钓而能取得其他使用者凭证的漏洞，以及不需使用者互动就能执行远端程式攻击。

至于一般奖励则涵盖窜改、欺骗、资讯揭露、权限扩张到远端程式攻击等漏洞，奖励金额则视漏洞严重程度，从500美元到1.5万美元不等。

微软表示，上述为既定的奖金标准，但该公司也可根据漏洞的严重性、影响力，甚至是研究人员所提交的研究品质，授予更高的奖金。