Microsoft hat ein weiteres Prämienprogramm gestartet, in dessen Rahmen es Finder neuer Sicherheitslücken in seinen Online-Diensten bezahlt. Den Anfang macht Office 365. Ab sofort erhalten Sicherheitsforscher, die noch nicht entdeckte Anfälligkeiten in der Online-Bürossoftware melden, mindestens 500 Dollar.
Microsoft entscheidet von Fall zu Fall, ob ein gemeldeter Bug den Richtlinien des Online Services Bug Bounty Program entspricht und sein Finder somit die Belohnung erhält. Zahlen will das Unternehmen beispielsweise für Hinweise auf folgende Arten von Sicherheitslücken: Cross Site Scripting (XSS), Cross Site Request Forgery (CSRF), Insecure Direct Object Reference, Injection- und Authentifizierungsfehler, serverseitige Codeausführung, Rechteausweitung und bedeutende Security-Fehlkonfigurationen.
In den Programmrichtlinien listet Microsoft auch die Domains auf, für die es Belohnungen auslobt. Zwar findet sich in der Liste auch outlook.com, aber nur als Teil der E-Mail-Services-Applikationen von Office 365 für Unternehmen. Die Consumer-Version von outlook.com ist ausdrücklich von den Prämienzahlungen ausgeschlossen.
Darüber hinaus zählt Microsoft einige nicht für das Programm qualifizierte Anfälligkeiten auf. Dazu zählt auch Denial of Service (DoS), das ernsthafte Folgen haben kann. Wahrscheinlich will Microsoft aber nicht zu DoS-Tests ermuntern.
Während der Entwicklung von Internet Explorer 11 hatte Microsoft ein ähnliches Prämienprogramm angeboten. Seit Mitte Juni 2013 zahlt es auch Belohnungen für Hinweise auf Techniken zur Umgehung von Sicherheitsfunktionen wie Address Space Layout Randomization (ASLR), das das Ausnutzen von Sicherheitslücken erschweren soll. Sie können sich auf bis zu 100.000 Dollar belaufen. Eine Übersicht über laufende und abgeschlossene Bug-Bounty-Programme findet sich auf Microsofts Technet-Website.
Außer Microsoft loben unter anderem auch Google und Facebook Prämien für Hinweise auf zuvor noch nicht entdeckte Sicherheitslücken in ihren Produkten aus. Im November letzten Jahres starteten die Unternehmen über die Organisation HackerOne sogar ein gemeinsames Sicherheitsbelohnungsprogramm namens Internet Bug Bounty. Die ausgeschriebenen Mindestpreisgelder betragen bis zu 5000 Dollar – allerdings abhängig von der Plattform, in der die gefundene Sicherheitslücke steckt.
[mit Material von Larry Seltzer, ZDNet.com]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
