通报详情
为确保漏洞评估流程的效率并过滤掉自动生成或未经验证的报告,所有提交的报告必须提供具体可操作的信息,并附上详尽的说明。请直接通过电子邮件提交以下必要信息:
- 受影响的产品及特定软件版本。
- 漏洞概述(例如:缓冲区溢出、整数溢出)。
- 详细的问题描述与实际影响。
- 漏洞发生的根本原因分析。
- 可证明漏洞可触发性(reachability)的概念验证 (PoC)。
- 复现问题的步骤。
- 成功复现问题的具体证据,例如:屏幕截图、录屏或崩溃日志 (crash logs)。
请注意:若未能提供 PoC 或具体证据,我们可能无法进行后续的评估与处理。
请将安全报告提交至: security@mediatek.com
漏洞发布
我们定期向客户发布产品安全漏洞与相关漏洞修补完成信息。这类信息通常会包含安全漏洞通报者之信息,除非该通报者另有请求。
常见问答集
1. 联发科技多久内会解决安全漏洞的问题?
我们的目标是在90天内解决安全漏洞问题,并将其传达给我们的利害关系人(例如透过安全布告栏)。虽然我们致力符合这样的期限,但仍可能存在不可预见的因素,但我们将尽最大努力让您在适当时机知道最新状态。
2. 我需要签署保密协议吗?
不需要。
3. 我可以匿名提交漏洞报告吗?
可以,如果您希望保持匿名,我们尊重您的隐私。我们仅需您的电子邮件让我们可以回复即可,不需要您的姓名或其它个人可识别信息,之后若有任何进一步沟通,我们也不会记录您的身份。
4. 若研究人员通报联发科技网站 / IT系统中的漏洞,是否会被表扬?
是的,请参阅 联发科技IT安全致谢。
5. 联发科技如何评级漏洞等级?
联发科技目前基于通用漏洞评分系统3.1版 (CVSS v3.1),对于已识别漏洞的严重性进行评级及评估。在特定的情况下,若有不在CVSS范围内的评估因素,我们将保留调整这些准则的权利。
6. 我可以使用加密通讯来提交漏洞报告?
可以,请使用 我们的PGP Public Key 将已加密的漏洞报告提交至 security@mediatek.com。
7. 我提交的漏洞报告是否可以获得金钱奖励?
MediaTek 目前在 HackerOne 有一个仅限邀请的安全漏洞奖励计划。若研究人员曾经有向 security@mediatek.com 提交高品质漏洞报告的记录,我们将邀请他们参加这个安全漏洞奖励计划。若您之前提交过一些高品质的漏洞报告,并且有兴趣加入这个计划,请联系 security@mediatek.com,MediaTek 安全团队将会审核您加入此计划的资格。请留意,domain "*.mediatek.com"、"www.mediatek.com" 与 web/server-side 的漏洞并不在我们 HackerOne 的奖励范围内,除此之外,只有通过我们在 HackerOne 上的安全漏洞奖励计划提交的有效报告才有获得金钱奖励的资格。
我们的目标是在90天内解决安全漏洞问题,并将其传达给我们的利害关系人(例如透过安全布告栏)。虽然我们致力符合这样的期限,但仍可能存在不可预见的因素,但我们将尽最大努力让您在适当时机知道最新状态。
2. 我需要签署保密协议吗?
不需要。
3. 我可以匿名提交漏洞报告吗?
可以,如果您希望保持匿名,我们尊重您的隐私。我们仅需您的电子邮件让我们可以回复即可,不需要您的姓名或其它个人可识别信息,之后若有任何进一步沟通,我们也不会记录您的身份。
4. 若研究人员通报联发科技网站 / IT系统中的漏洞,是否会被表扬?
是的,请参阅 联发科技IT安全致谢。
5. 联发科技如何评级漏洞等级?
联发科技目前基于通用漏洞评分系统3.1版 (CVSS v3.1),对于已识别漏洞的严重性进行评级及评估。在特定的情况下,若有不在CVSS范围内的评估因素,我们将保留调整这些准则的权利。
6. 我可以使用加密通讯来提交漏洞报告?
可以,请使用 我们的PGP Public Key 将已加密的漏洞报告提交至 security@mediatek.com。
7. 我提交的漏洞报告是否可以获得金钱奖励?
MediaTek 目前在 HackerOne 有一个仅限邀请的安全漏洞奖励计划。若研究人员曾经有向 security@mediatek.com 提交高品质漏洞报告的记录,我们将邀请他们参加这个安全漏洞奖励计划。若您之前提交过一些高品质的漏洞报告,并且有兴趣加入这个计划,请联系 security@mediatek.com,MediaTek 安全团队将会审核您加入此计划的资格。请留意,domain "*.mediatek.com"、"www.mediatek.com" 与 web/server-side 的漏洞并不在我们 HackerOne 的奖励范围内,除此之外,只有通过我们在 HackerOne 上的安全漏洞奖励计划提交的有效报告才有获得金钱奖励的资格。