Nun möchte auch Microsoft für gefundene Sicherheitslücken bezahlen. Die Bug-Bounty-Programme wurden für die neuesten Microsoft-Produkte, Windows 8.1 (Windows Blue) und den Internet Explorer 11, ausgeschrieben. Die Programme versprechen zum Teil hohe Belohnungen von 100.000 US-Dollar.

Wer in der Vorabversion von Windows 8.1 Schwachstellen findet, kann mit einer Auszahlung von bis zu 100.000 US-Dollar rechnen. Vorausgesetzt man kann durch die Schwachstelle Code ins System einschleusen und dabei standardmäßig aktive Exploit-Bremsen wie die Speicherverwürfelung (ASLR) und die Datenausführungsverhinderung austrickst. In der Vorabversion des Internet Explorer 11 bringen kritische Lücken rund 11.000 US-Dollar ein. Ideen zur Sicherheitsverbesserung von 8.1 werden mit bis zu 50.000 US-Dollar belohnt.

Mit Herausgabe der öffentlichen Beta von Windows 8.1, die auch den IE 11 enthält, am 26. Juni starten die Bug-Bounty-Programme. Die Analyse des IE ist bis zum 26. Juli begrenzt, die Schwachstellenprüfung in Windows 8.1 soll dauernd sein. Es werden gut aufbereitete Bug-Reports mit Proof of Concept erwartet, um die Belohnungen einzustreichen. Innerhalb von zwei Wochen nach Einreichen eines Berichts sollen Teilnehmer erfahren, wie ihr Fund belohnt wird.

(ez, hannover)

(siehe auch Heise News-Ticker :)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE