A Microsoft leva a sério a segurança de nossos produtos e serviços de software, que inclui todos os repositórios de código-fonte gerenciados por meio de nossas organizações do GitHub, que incluem Microsoft, Azure, DotNet, AspNet, Xamarin e nossas organizações GitHub.
Se você acredita ter encontrado uma vulnerabilidade de segurança em qualquer repositório de propriedade da Microsoft que atenda à definição da Microsoft de uma vulnerabilidade de segurança, denuncie-a a nós, conforme descrito abaixo.
Não informe vulnerabilidades de segurança por meio de problemas públicos do GitHub.
Em vez disso, denuncie-os ao MSRC (Centro de Resposta à Segurança da Microsoft) em https://msrc.microsoft.com/create-report.
Se preferir enviar sem fazer logon, envie email para secure@microsoft.com. Se possível, criptografe sua mensagem com nossa chave PGP; baixe-o na página Chave PGP do Centro de Resposta de Segurança da Microsoft.
Você deve receber uma resposta dentro de 24 horas. Se por algum motivo você não fizer isso, siga por email para garantir que recebemos sua mensagem original. Informações adicionais podem ser encontradas em microsoft.com/msrc.
Inclua as informações solicitadas listadas abaixo (tanto quanto você pode fornecer) para nos ajudar a entender melhor a natureza e o escopo do possível problema:
- Tipo de problema (por exemplo, estouro de buffer, injeção de SQL, script entre sites etc.)
- Caminhos completos de arquivos de origem relacionados à manifestação do problema
- O local do código-fonte afetado (tag/branch/commit ou URL direta)
- Qualquer configuração especial necessária para reproduzir o problema
- Instruções passo a passo para reproduzir o problema
- Código de prova de conceito ou exploração (se possível)
- Impacto do problema, incluindo como um invasor pode explorar o problema
Essas informações nos ajudarão a triagem do relatório mais rapidamente.
Se você estiver relatando uma recompensa por bugs, relatórios mais completos podem contribuir para um prêmio de recompensa mais alto. Visite nossa página do Programa de Recompensa de Bugs da Microsoft para obter mais detalhes sobre nossos programas ativos.
Preferimos que todas as comunicações estejam em inglês.
A Microsoft segue o princípio da Divulgação coordenada de vulnerabilidades.