微软宣布旗下的 BUG 悬赏项目新增覆盖 3 个产品，分别为 Exchange, SharePoint 和 Skype for Business。和 BUG 悬赏项目中的其他产品一样，针对这 3 个产品的 BUG 悬赏金额从 500 美元起步，根据 BUG 的危险等级最高上限为 3 万美元。

微软解释道：“Microsoft 365 和 Microsoft Office Servers 是我们工作和生活中的生产力解决方案，旨在通过创新的 Office 应用程序、智能云服务和世界级的安全来帮助您实现更多目标。Microsoft Applications 和 On-Premises Servers Bounty Program 邀请全球研究人员识别特定微软应用程序和企业内部服务器中的漏洞，并与我们的团队分享这些漏洞。符合条件的提交者有资格获得 500 美元至 30,000 美元的赏金奖励”。

当然，微软为远程代码执行缺陷提供最大的奖励。如果它们被评为关键缺陷，并与高质量的报告一起被送到微软，它们可能价值 20,000 美元。另一方面，如果你遇到的是特权提升，也被评为关键性缺陷，当高质量的报告也被发送时，赏金就会降到 8000 美元。然而，微软表示，它也可以提供更高的奖励，这取决于你的发现。

微软表示：“赏金奖励范围从 500 美元到 30,000 美元。根据漏洞的严重性和影响以及提交的质量，微软有可能提供更高的奖励，由微软全权决定。如果研究人员提交的材料不符合赏金奖励的条件，但如果他们提交的材料修复了漏洞，他们仍有资格获得公开承认，并在我们的研究人员表彰计划中获得积分”。

路由器是网络中必不可少的网络设备，但也往往被我们所忽略。只要路由器能够满足我们的上网需求，即便是停止支持我们也会继续使用。但我们也忽略了这些路由器存在的安全隐患，网络安全和基础设施机构（CISA）正在提醒 D-Link 的客户：近期又有 5 个 D-Link 型号被添加到该机构的脆弱设备名单

当路由器达到其使用寿命时（如受此漏洞影响的设备），漏洞变得更加严重。制造商有责任用新的补丁来解决这些问题，但他们一般不会为报废设备推送更新（只有少数罕见的例外）。

CISA 报告称 D-Link DIR-810L、DIR-820L/LW、DIR-826L、DIR-830L 和 DIR-836L 这 5 款型号的路由器存在“远程代码执行”漏洞。据 Malwarebytes 实验室称，攻击者可以利用“诊断钩子”（diagnostic hooks），在没有适当认证的情况下进行动态 DNS 调用，使他们能够控制受影响的路由器。

值得注意的是，Github 用户 doudoudedi表示针对这一漏洞的概念证明黑客已经存在于野外。因此，D-Link 建议尽快更换你可能拥有的任何受影响的路由器。产生更多的电子垃圾总是令人遗憾的，但在这种情况下，它是两害相权取其轻。