通報安全漏洞

聯發科技高度重視產品安全問題及漏洞,且適當地回應安全報告。

通報詳情

您可直接透過電子郵件提交以下資訊,來幫助我們盡速評估:
  • 受影響的產品和軟件版本
  • 安全漏洞概述 (例如:緩衝區溢出、整數溢出等)
  • 問題描述及影響 (例如:任意代碼執行、資訊洩漏等)
  • 有關如何復現問題的說明指引
  • 概念驗證 (PoC)

請將安全報告提交至: security@mediatek.com

漏洞發佈

我們定期向客戶發佈產品安全漏洞與相關漏洞修補完成資訊。這類資訊通常會包含安全漏洞通報者之資訊,除非該通報者另有請求。


常見問答集

1. 聯發科技多久內會解決安全漏洞的問題?
我們的目標是在90天內解決安全漏洞問題,並將其傳達給我們的利害關係人(例如透過安全佈告欄)。雖然我們致力符合這樣的期限,但仍可能存在不可預見的因素,但我們將盡最大努力讓您在適當時機知道最新狀態。

2. 我需要簽署保密協議嗎?
不需要。

3. 我可以匿名提交漏洞報告嗎?
可以,如果您希望保持匿名,我們尊重您的隱私。我們僅需您的電子郵件讓我們可以回覆即可,不需要您的姓名或其它個人可識別資訊,之後若有任何進一步溝通,我們也不會記錄您的身份。

4. 若研究人員通報聯發科技網站 / IT系統中的漏洞,是否會被表揚?
是的,請參閱 聯發科技IT安全致謝

5. 聯發科技如何評級漏洞等級?
聯發科技目前基於通用漏洞評分系統3.1版 (CVSS v3.1),對於已識別漏洞的嚴重性進行評級及評估。在特定的情況下,若有不在CVSS範圍內的評估因素,我們將保留調整這些準則的權利。

6. 我可以使用加密通訊來提交漏洞報告?
可以,請使用 我們的PGP Public Key 將已加密的漏洞報告提交至 security@mediatek.com

7. 我提交的漏洞報告是否可獲得金錢獎勵?
MediaTek 目前在 HackerOne 有一個僅限邀請的安全漏洞獎勵計劃。若研究人員曾經有向 security@mediatek.com 提交高品質漏洞報告的記錄,我們將邀請他們參加這個安全漏洞獎勵計劃。若您之前提交過一些高品質的漏洞報告,並且有興趣加入這個計劃,請聯繫 security@mediatek.com,MediaTek 安全團隊將會審核您加入此計劃的資格。請留意,domain "*.mediatek.com"、"www.mediatek.com" 與 web/server-side 的漏洞並不在我們 HackerOne 的獎勵範圍內,除此之外,只有透過我們在 HackerOne 上的安全漏洞獎勵計劃提交的有效報告才有獲得金錢獎勵的資格。