wind|微软降低回报奖金，研究人员直接公开最新Windows系统权限漏洞_

近日对于系统研究人员最丧气的新闻，莫过于微软提供给漏洞回报者的奖金大幅度缩水这件事情，让长期以来对系统深入帮忙查找毛病的研究者动力大减，近日还有研究人员直接把一个影响到Windows 11、Windows 10和Windows Server的漏洞直接公开分享，作为对微软新政策的抗议。

文章插图
一位研究人员公开披露了 Windows 11、Windows 10 和 Windows Server 中一个以“零日漏洞”为基础的本机权限升级漏洞，该漏洞允许拥有标准权限的用户以 SYSTEM 权限打开指令应用，并且可利用此权限在整个网络中传播恶意内容。

文章插图
据报道，由于开发者对微软减少漏洞回报奖金感到沮丧，于是将此漏洞直接公开。研究人员 Abdelhamid Naceri 透露，从 2020 年 4 月以来，微软的奖励机制已经逐渐被改变，要不是微软决意降低奖金，自己还不会想直接公开问题。多年来微软漏洞回报奖金计划的支付多年来都以各种方式减少支付金额，这个抱怨并不是初次听到，很多 Bug 猎人对此都颇有怨言。

文章插图
?
微软已经修复了其更新中的问题，但仍然存在一个相关漏洞。 Naceri 发现了修复后的旁支和更强大的漏洞出现，他在 GitHub 上发表了一篇概念验证漏洞的贴文，还深入地解释了该漏洞原理与细节。 Bleeping Computer 对此漏洞进行实际测试，事实证明，该漏洞在具有标准权限的账号上的确能够进一步获得 SYSTEM 权限。
【 wind|微软降低回报奖金，研究人员直接公开最新Windows系统权限漏洞】

文章插图
目前微软虽然并没有对此发表任何评论，但可能该公司正在设法修复此漏洞，不过我认为既然提出漏洞回报奖励计划，该给的还是要大方给，否则就失去最原始这个计划推出时群策群力完善系统的初衷了。