Компания Avast Software начинает официальную программу вознаграждений за найденные уязвимости в своих антивирусных продуктах
Avast! открывает охоту на ошибкиAvast интересуют следующие виды уязвимостей:
Удаленное выполнение кода (3000$-5000$ возможно и больше)
Повышение привилегий
DoS (BSOD или зависание/падение процесса avast’a)
Выход за пределы «песочницы» антивируса
Обход сканера (чистый обход, без изменения известных сигнатур вируса)
Etc.
Вознаграждение зависит от уровня критичности и стартует от 200$. Стоимость будет определяться специальной комиссией. Также возможно изменения стоимости найденной уязвимости из принципа — чем больше будет рапортов по багу тем меньше будет ее ценность.
Принимаются ошибки только в продукции Avast и ее библиотеках, т.е. за найденную уязвимость в другой библиотеке (к примеру от Microsoft), которую так или иначе использует антивирус — не будут оплачены.
Оплата вознаграждений будет осуществляться через PayPal, в ином случае нужно связаться с саппортом для поиска других альтернативных способов.
Остальных, желающих заработать, прошу обратить внимание на ещё кое-какие пункты:
* Ответственность за уплату любых налогов и платежей с суммы вознаграждения лежит полностью на участнике программы.
Для участия в программе выявленный баг должен быть оригинальным и ранее неизвестным.
Если два участника программы сообщат об одном и том же баге, то вознаграждение будет выплачено только тому из них, чьё сообщение придёт первым.
Запрещается раскрывать любую информацию о выявленном баге, пока не будет выпущена версия Аваста с устранением этого бага. В противном случае вознаграждение выплачено не будет.
Вознаграждение будет выплачено только после устранения бага (или, в особых случаях, если баг будет решено не исправлять).
Устранение некоторых багов может потребовать много времени. Компания приложит все усилия для устранения критических багов в кратчайшие сроки. Просим проявлять терпение.
Если вы хотите закодировать своё сообщение (что рекомендуется), то воспользуйтесь этим PGP ключом.
Качественное сообщение о баге должно содержать достаточную информацию для достоверного воспроизведения в лабораторных условиях. Пожалуйста, включайте в сообщение всю имеющую значение информацию – точные сведения о компьютерной системе, детальное описание бага, образец кода (в случае необходимости) и т.д. Сообщение также должно содержать профессиональный анализ – ведь эта программа предназначена для исследователей по вопросам компьютерной безопасности и разработчиков программного обеспечения; поэтому мы ожидаем, что сообщения будут соответствовать некоторому профессиональному уровню качества.
Вы получите ответное уведомление от разработчиков Аваста, как правило, в течение 24 часов. Если вы не получили уведомление в этот срок, пожалуйста не считайте, что вас игнорируют – мы обязательно постараемся связаться с вами как можно скорее. Также не забудьте проверить спам-фильтры вашего электронного адреса.