通报安全漏洞

联发科技高度重视产品安全问题及漏洞,且适当地响应安全报告。

通报详情

您可直接透过电子邮件提交以下信息,来帮助我们尽速评估:
  • 受影响的产品和软件版本
  • 安全漏洞概述 (例如:缓冲区溢出、整数溢出等)
  • 问题描述及影响 (例如:任意代码执行、信息泄漏等)
  • 有关如何复现问题的说明指引
  • 概念验证 (PoC)

请将安全报告提交至: security@mediatek.com

漏洞发布

我们定期向客户发布产品安全漏洞与相关漏洞修补完成信息。这类信息通常会包含安全漏洞通报者之信息,除非该通报者另有请求。


常见问答集

1. 联发科技多久内会解决安全漏洞的问题?
我们的目标是在90天内解决安全漏洞问题,并将其传达给我们的利害关系人(例如透过安全布告栏)。虽然我们致力符合这样的期限,但仍可能存在不可预见的因素,但我们将尽最大努力让您在适当时机知道最新状态。

2. 我需要签署保密协议吗?
不需要。

3. 我可以匿名提交漏洞报告吗?
可以,如果您希望保持匿名,我们尊重您的隐私。我们仅需您的电子邮件让我们可以回复即可,不需要您的姓名或其它个人可识别信息,之后若有任何进一步沟通,我们也不会记录您的身份。

4. 若研究人员通报联发科技网站 / IT系统中的漏洞,是否会被表扬?
是的,请参阅 联发科技IT安全致谢

5. 联发科技如何评级漏洞等级?
联发科技目前基于通用漏洞评分系统3.1版 (CVSS v3.1),对于已识别漏洞的严重性进行评级及评估。在特定的情况下,若有不在CVSS范围内的评估因素,我们将保留调整这些准则的权利。

6. 我可以使用加密通讯来提交漏洞报告?
可以,请使用 我们的PGP Public Key 将已加密的漏洞报告提交至 security@mediatek.com

7. 我提交的漏洞报告是否可以获得金钱奖励?
MediaTek 目前在 HackerOne 有一个仅限邀请的安全漏洞奖励计划。若研究人员曾经有向 security@mediatek.com 提交高品质漏洞报告的记录,我们将邀请他们参加这个安全漏洞奖励计划。若您之前提交过一些高品质的漏洞报告,并且有兴趣加入这个计划,请联系 security@mediatek.com,MediaTek 安全团队将会审核您加入此计划的资格。请留意,domain "*.mediatek.com"、"www.mediatek.com" 与 web/server-side 的漏洞并不在我们 HackerOne 的奖励范围内,除此之外,只有通过我们在 HackerOne 上的安全漏洞奖励计划提交的有效报告才有获得金钱奖励的资格。