如果您在IDA或反编译器中发现了安全漏洞并将其报告给我们,则可能会获得现金奖励。
我们的Security Bug Bounty Program的目的是使我们的工具更加安全,并奖励那些在这方面帮助我们的人。
请检查以下报告的漏洞。
赏金指南
- Hex-Rays将为某些安全漏洞支付3000美元的赏金。
- 除Hex-Rays员工及其家人外,所有IDA或Decompiler许可证持有人均可参加(有或没有有效的支持计划)。
- 哪些安全漏洞会被考虑:
- 只有Hex-Ray产品(IDA和反编译器)中的漏洞才有资格。
- 安全漏洞必须存在于 Hex-Ray 代码中(而非第三方/贡献的代码中)。在某些情况下,我们也会对第三方代码负责。
- 安全错误必须是原始的,并且以前未报告过,并且尚未修复。
- 具有严重影响或严重影响的安全错误是合格的(远程执行代码,特权升级等)。
- 必须是存在于IDA/Decompiler最新公开版本中的安全漏洞。
- 安全漏洞必须在干净的、未修改的IDA/Decompiler安装上工作,并应用所有公开发布的补丁。
- 在某些情况下,我们可能会接受需要修改IDA默认设置的错误(但不进行任何二进制修补,注册表编辑等)。
- 安全漏洞必须在没有用户’交互的情况下被触发,或者在用户工作中自然发生的交互。
- 无法获得赏金的漏洞:
- 我们网站的问题
- 当用户明确启动调试会话、执行脚本或任何其他可能导致执行外部代码作为其正常功能的行为时发生的错误。
- 反调试和类似技巧。
- 简单的崩溃和拒绝服务的bug,虽然我们’仍然会有兴趣得到这些的报告,🙂。
- 申请方法:将报告发送至bugbounty@hex-rays.com。 该报告应包括POC代码以及对该错误及其影响的简短描述。
- 如果我们认为报告者的行为已经危及Hex-Ray’终端用户的安全,我们保留拒绝赏金的权利。
- 赏金计划的持续时间:不确定。 我们保留随时关闭程序的权利。
- 要求报告者:在漏洞确认后的30天内提供正确且合法的图片标识和银行帐户信息。
- 允许集体参赛。赏金将支付给团体指定的人员。
报告的漏洞
| 日期 | 报告者 | 产品 | 描述 |
| 2011-02-08 19:21 | Stefan Esser | IDA 5.7与6.0 | Macho-O加载程序中的漏洞 |
| 2011-02-10 10:37 | Alin Rad Pop | IDA 5.7与6.0 | 字符串编码转换中的漏洞 |
| 2011-02-11… | Masaaki Chida | IDA 5.7与6.0 | 多个漏洞 |
| 2011-02-20… | Masaaki Chida | IDA 5.7与6.0 | 多个漏洞 |
| 2011-03-18… | 未公布 | IDA 5.7与6.0 | 插件自动运行漏洞 |
| 2011-04-10… | 未公布 | IDA 5.7和6.0以及6.1的早期副本 | WinDbg自动运行漏洞 |
| 2012-03-19 19:50 | Greg MacManus | IDA版本最高为6.2 | Python自动运行脚本漏洞 |
| 2013-07-07 01:33 | Masaaki Chida | IDA versions 6.3和6.4 | .NET处理器模块中的漏洞 |
| 2013-07-15 at 19:14 | Masaaki Chida | IDA版本最高为6.4 | Windbg自动运行漏洞 |
| 2013-07-21 11:13 | Masaaki Chida | IDA版本最高为6.4 | 提示计算中的漏洞 |
| 2014-01-05 at 01:07 | George Hotz | IDA版本最高为6.5 | Mach-O加载器中的漏洞 |
| 2014-06-09 17:52 | Tadashi Kobayashi | IDA版本最高为6.6 | til文件加载中的漏洞 |
| 2014-09-06 12:54 | Mateusz Jurczyk | IDA版本最高为6.6 | 多个漏洞 |
| 2014-11-19 23:34 | Robert Święcki | IDA版本最高为6.6 | 多个漏洞 |
| 2014-11-26 12:07 | Mateusz Jurczyk | IDA版本最高为6.6 | 多个漏洞 |
| 2014-12-03 01:59 | Robert Święcki | IDA版本最高为6.6 | PE加载器中的漏洞 |
| 2014-12-19 20:15 | George Nosenko | IDA版本最高为6.6 | GDB调试器模块中的漏洞 |
| 2015-01-08 20:48 | Mateusz Jurczyk | IDA版本最高为6.7 | 多个漏洞 |
| 2015-01-14 12:08 | Mateusz Jurczyk | IDA版本最高为6.7 | 多个漏洞 |
| 2015-01-27 21:08 | Gynvael Coldwind与Mateusz Jurczyk | IDA版本最高为6.7 | 多个漏洞 |
| 2015-11-17 14:36 | Mateusz Jurczyk | IDA版本最高为6.8 | PE加载程序中的两个漏洞 |
| 2019-01-29 06:53 | Ryota Shiga | IDA版本最高为7.2 | 对话框中意外的HTML呈现 |
| 2019-11-14 10:09 | Ryota Shiga | IDA版本从7.0到7.4 | 调试服务器中的漏洞 |
