Foi publicado no Blog do Time de Segurança da Microsoft Brasil, Negócio de Risco, um post muito interessante sobre o procedimento para reportar falhas de segurança para a Microsoft.

Alguns trechos interessantes:

Falhas de Segurança

Antes de mais nada, o que a Microsoft considera como vulnerabilidades de segurança? A nossa definição oficial está em http://technet.microsoft.com/en-us/library/cc751383.aspx (em inglês), e diz:

Uma vulnerabilidade de segurança é uma falha em um produto que torna impraticável impedir que um atacante obtenha privilégios no sistema do usuário, controle a sua operação, comprometa dados do sistema ou obtenha algum tipo de confiança, mesmo quando o produto é usado corretamente.

Esta definição inclui ataques de elevação de privilégios, execução remota de código, negação de serviço, vazamento de informações, alteração indevida de dados e falsificação de identidades, entre outros.

É importante mencionar o que não é considerado uma vulnerabilidade. Primeiro, ele tem que ser uma falha no produto – se não é uma falha (isto é, o funcionamento é o esperado) ou se não é no produto (por exemplo, faz parte da especificação de um protocolo) então não são considerados vulnerabilidades de segurança.

Veja mais detalhes no artigo Como Reportar Falhas de Seguranca para a Microsoft.