A Microsoft leva a sério a segurança de nossos produtos e serviços de software, o que inclui todos os repositórios de código-fonte gerenciados por nossas organizações GitHub, que incluem Microsoft, Azure, DotNet, AspNet, Xamarin, e nossas organizações GitHub.
Se você acredita ter encontrado uma vulnerabilidade de segurança em qualquer repositório de propriedade da Microsoft que atenda à definição de vulnerabilidade de segurança da Microsoft, informe-nos conforme descrito abaixo.
Não relate vulnerabilidades de segurança por meio de problemas públicos do GitHub.
Em vez disso, informe-os ao Microsoft Security Response Center (MSRC) em https://msrc.microsoft.com/create-report.
Se preferir enviar sem fazer login, envie um email para secure@microsoft.com. Se possível, criptografe sua mensagem com nossa chave PGP; baixe-o na página da chave PGP do Microsoft Security Response Center.
Você deverá receber uma resposta dentro de 24 horas. Se por algum motivo você não fizer isso, entre em contato por e-mail para garantir que recebemos sua mensagem original. Informações adicionais podem ser encontradas em microsoft.com/msrc.
Inclua as informações solicitadas listadas abaixo (tanto quanto você puder fornecer) para nos ajudar a entender melhor a natureza e o escopo do possível problema:
- Tipo de problema (por exemplo, buffer overflow, injeção de SQL, cross-site scripting, etc.)
- Caminhos completos dos arquivos de origem relacionados à manifestação do problema
- A localização do código-fonte afetado (tag/branch/commit ou URL direto)
- Qualquer configuração especial necessária para reproduzir o problema
- Instruções passo a passo para reproduzir o problema
- Prova de conceito ou código de exploração (se possível)
- Impacto do problema, incluindo como um invasor pode explorar o problema
Essas informações nos ajudarão a fazer a triagem do seu relatório mais rapidamente.
Se você estiver reportando uma recompensa por bug, relatórios mais completos podem contribuir para uma recompensa maior. Visite nossa página Programa Microsoft Bug Bounty para obter mais detalhes sobre nossos programas ativos.
Preferimos que todas as comunicações sejam em inglês.
A Microsoft segue o princípio de Divulgação Coordenada de Vulnerabilidades.