Microsoft zahlt Finderlohn für Sicherheitslücken
Für die neuesten Produkte bietet Microsoft nun Bug-Bounty-Programme an. Wer Schwachstellen in Windows 8.1 oder Internet Explorer 11 entdeckt, kann sich auf bis zu 100.000 US-Dollar freuen.
Auch Microsoft möchte nun für gefundene Sicherheitslücken bezahlen. Die Bug-Bounty-Programme wurden für die neuesten Microsoft-Produkte ausgeschrieben, Windows 8.1 (Windows Blue) und den Internet Explorer 11. Die Programme versprechen zum Teil fürstliche Belohnungen.
Wer Schwachstellen in der Vorabversion von Windows 8.1 findet, kann mit einer Auszahlung von bis zu 100.000 US-Dollar rechnen. Voraussetzung ist, dass man durch die Schwachstelle Code ins System einschleusen kann und dabei standardmäßig aktive Exploit-Bremsen wie die Speicherverwürfelung (ASLR) und die Datenausführungsverhinderung austrickst. Kritische Lücken in der Vorabversion des Internet Explorer 11 bringen rund 11.000 US-Dollar ein. Ideen zur Verbesserung der Sicherheit von 8.1 werden mit bis zu 50.000 US-Dollar belohnt. Microsoft nennt diesen Preis "BlueHat Bonus for Defense". Er soll den BlueHat-Wettbewerb fortsetzen.
Die Bug-Bounty-Programme starten mit Herausgabe der öffentlichen Beta von Windows 8.1, die auch den IE 11 enthält, am 26. Juni. Die Analyse des IE ist zeitlich bis zum 26. Juli begrenzt, die Schwachstellenprüfung in Windows 8.1 soll fortwährend sein. Um die Belohnungen einzustreichen, werden gut aufbereitete Bug-Reports mit Proof of Concept erwartet. Teilnehmer sollen innerhalb von zwei Wochen nach Einreichen eines Berichts erfahren, wie ihr Fund belohnt wird.
Windows 8.1 soll offiziell am 1. August 2013 als Download erscheinen. (kbe)
