Chercheur en sécurité informatique chez NSFOCUS Security Labs, Yang Yu est la deuxième personne après James Forshaw à empocher les 100 000 dollars de Microsoft.

Selon le libellé du programme de Bug Bounty initié par Microsoft le 26 juin dernier, cette somme rondelette est censée récompenser Yang Yu pour une technique d'exploitation innovante capable de passer outre les protections de Windows 8.1.

Une porte-parole de Microsoft a toutefois précisé à Threatpost que le paiement à Yang Yu est légèrement différent dans la mesure où il s'est appuyé pour son exploit sur trois variantes de techniques déjà connues. Pour autant, Microsoft a " appris quelque chose de nouveau " qui sera utile dans le renforcement des défenses de Windows 8.1.

La firme de Redmond s'est convertie tardivement aux programmes de chasse aux bugs via lesquels des paiements directs sont proposés en échange de la découverte de certains types de vulnérabilités et techniques d'exploitation. Des trouvailles par des chercheurs et hackers qui doivent être dûment rapportées.

Jusqu'à fin juillet 2013, un tel programme était aussi en vigueur pour des vulnérabilités critiques affectant ce qui était à l'époque la préversion d'Internet Explorer 11.

À ce jour, Microsoft a déboursé plus de 253 000 dollars pour des problèmes identifiés dans Windows 8.1 et la préversion d'IE11.