سلام
من تو یکی از کدهای شرکت ماکروسافت یه مشکلی پیدا کردم که خیلی ها می تونن ازش سو استفاده کنن.
به نظرتون این مشکل رو چطوری اعلام کنم؟به خود مایکروسافت ایمیل بزنم یا مثلا مقاله اش کنم و به IEEE و ... بفرستم؟
پیشاپیش از راهنمائیتون ممنون
نحوه اطلاع رسانی در مورد یک حفره امنیتی
سلام
من تو یکی از کدهای شرکت ماکروسافت یه مشکلی پیدا کردم که خیلی ها می تونن ازش سو استفاده کنن.
به نظرتون این مشکل رو چطوری اعلام کنم؟به خود مایکروسافت ایمیل بزنم یا مثلا مقاله اش کنم و به IEEE و ... بفرستم؟
پیشاپیش از راهنمائیتون ممنون
نوشته شده توسط Tarrah
سلام.
آدرس ایمیل مایکروسافت برای این منظور، secure@microsoft.com هستش، اما تنها باید در صورتی این کار رو کنید که فکر می کنید مطلبی که پیدا کردید دارای شرایط یک حفره امنیتی باشه و بواسطه 10 قانون تغییر ناپذیر امنیتی رفع نخواهد شد.
پیامتون رو باید توسط PGP رمز گذاری کنید و مطالب زیر رو در متن پیامتون بگنجونید:
- Type of issue (buffer overflow, SQL injection, cross-site scripting, etc.)
- Product and version that contains the bug
- Service packs, security updates, or other updates for the product you have installed
- Any special configuration required to reproduce the issue
- Step-by-step instructions to reproduce the issue on a fresh install
- Proof-of-concept or exploit code
- Impact of the issue, including how an attacker could exploit the issue
به این ترتیب اگر دقیق این کارو کرده باشید و مطلبتون صحت داشته باشه، ظرف 24 ساعت با شما تماس گرفته میشه. - منبع
قوانین ایجاد تاپیک در تالار
پاسخ با نقل قول