Microsoft prend au sérieux la sécurité de nos produits et services logiciels, qui inclut tous les dépôts de code source gérés via nos organisations GitHub, notamment Microsoft, Azure, DotNet, AspNet, Xamarin et nos organisations GitHub.
Si vous pensez avoir trouvé une vulnérabilité de sécurité dans un dépôt appartenant à Microsoft qui répond à la définition d’une vulnérabilité de sécurité de Microsoft, veuillez nous la signaler comme décrit ci-dessous.
Ne signalez pas les failles de sécurité par le biais de problèmes GitHub publics.
Au lieu de cela, signalez-les au Centre de réponse à la sécurité Microsoft (MSRC) à l’adresse https://msrc.microsoft.com/create-report.
Si vous préférez envoyer sans vous connecter, envoyez un e-mail à secure@microsoft.com. Si possible, chiffrez votre message avec notre clé PGP ; Téléchargez-le à partir de la page Clé PGP du Centre de réponse à la sécurité Microsoft.
Vous devez recevoir une réponse dans les 24 heures. Si pour une raison quelconque vous ne le faites pas, veuillez effectuer un suivi par e-mail pour vous assurer que nous avons bien reçu votre message d’origine. Pour plus d’informations, consultez microsoft.com/msrc.
Veuillez inclure les informations demandées listées ci-dessous (autant que vous pouvez fournir) pour nous aider à mieux comprendre la nature et l’étendue du problème possible :
- Type de problème (par exemple, dépassement de mémoire tampon, injection DE CODE SQL, script intersites, etc.)
- Chemins d’accès complets des fichiers sources liés à la manifestation du problème
- Emplacement du code source affecté (balise/branche/commit ou URL directe)
- Toute configuration spéciale requise pour reproduire le problème
- Instructions pas à pas pour reproduire le problème
- Preuve de concept ou code d’exploitation (si possible)
- Impact du problème, y compris la façon dont un attaquant peut exploiter le problème
Ces informations nous aideront à trier votre rapport plus rapidement.
Si vous signalez une prime de bogue, des rapports plus complets peuvent contribuer à une prime de primes plus élevée. Pour plus d’informations sur nos programmes actifs, consultez notre page Programme de primes aux bogues Microsoft.
Nous préférons que toutes les communications soient en anglais.
Microsoft suit le principe de divulgation coordonnée des vulnérabilités.