Mozilla zahlt Prämien für Lücken in Webdiensten
Für das Aufdecken von Lücken in den Webdiensten der Mozilla Foundation winken bis zu 3000 US-Dollar. Der Anbieter erweitert damit sein bisheriges Bug-Bounty-Programm für Lücken in seinen Client-Produkten.
- Daniel Bachfeld
Die Mozilla Foundation folgt dem Beispiel von Google und erweitert sein Prämienprogramm zur Suche nach Sicherheitslücken in seinen Webanwendungen. Die Belohnung für gemeldete Lücken soll zwischen 500 US-Dollar für Schwachstellen mit einem hohen Schweregrad bis zu 3000 US-Dollar für außerordentlich kritische Lücken reichen.
Zu den zu untersuchenden Webseiten gehören unter anderem bugzilla.mozilla.org, www.firefox.com, www.getfirefox.com, addons.mozilla.org, services.addons.mozilla.org, versioncheck.addons.mozilla.org und download.mozilla.org. Insbesondere Cross-Site-Scripting und Cross-Site-Request-Forgery-Schwachstellen sowie das Einschleusen von Code über File Inclusion (Remote und Lokal) stehen im Fokus des Programms. Für DoS-Schwachstellen gibt es keine Preise. Eine FAQ erläutert die Einzelheiten zu dem Programm.
Google hatte kürzlich ein ähnliches Programm gestartet, sah sich aber nach zwei Wochen gezwungen, klarzustellen, für welche Lücken es nun genau Geld gibt und für welche nicht. (dab)