Microsoft hat ein weiteres Prämienprogramm gestartet, in dessen Rahmen es Finder neuer Sicherheitslücken in seinen Online-Diensten bezahlt. Den Anfang macht Office 365. Ab sofort erhalten Sicherheitsforscher, die noch nicht entdeckte Anfälligkeiten in der Online-Bürossoftware melden, mindestens 500 Dollar.
Microsoft entscheidet von Fall zu Fall, ob ein gemeldeter Bug den Richtlinien des Online Services Bug Bounty Program entspricht und sein Finder somit die Belohnung erhält. Zahlen will das Unternehmen beispielsweise für Hinweise auf folgende Arten von Sicherheitslücken: Cross Site Scripting (XSS), Cross Site Request Forgery (CSRF), Insecure Direct Object Reference, Injection- und Authentifizierungsfehler, serverseitige Codeausführung, Rechteausweitung und bedeutende Security-Fehlkonfigurationen.
In den Programmrichtlinien listet Microsoft auch die Domains auf, für die es Belohnungen auslobt. Zwar findet sich in der Liste auch outlook.com, aber nur als Teil der E-Mail-Services-Applikationen von Office 365 für Unternehmen. Die Consumer-Version von outlook.com ist ausdrücklich von den Prämienzahlungen ausgeschlossen.
Darüber hinaus zählt Microsoft einige nicht für das Programm qualifizierte Anfälligkeiten auf. Dazu zählt auch Denial of Service (DoS), das ernsthafte Folgen haben kann. Wahrscheinlich will Microsoft aber nicht zu DoS-Tests ermuntern.
Während der Entwicklung von Internet Explorer 11 hatte Microsoft ein ähnliches Prämienprogramm angeboten. Seit Mitte Juni 2013 zahlt es auch Belohnungen für Hinweise auf Techniken zur Umgehung von Sicherheitsfunktionen wie Address Space Layout Randomization (ASLR), das das Ausnutzen von Sicherheitslücken erschweren soll. Sie können sich auf bis zu 100.000 Dollar belaufen. Eine Übersicht über laufende und abgeschlossene Bug-Bounty-Programme findet sich auf Microsofts Technet-Website.
Außer Microsoft loben unter anderem auch Google und Facebook Prämien für Hinweise auf zuvor noch nicht entdeckte Sicherheitslücken in ihren Produkten aus. Im November letzten Jahres starteten die Unternehmen über die Organisation HackerOne sogar ein gemeinsames Sicherheitsbelohnungsprogramm namens Internet Bug Bounty. Die ausgeschriebenen Mindestpreisgelder betragen bis zu 5000 Dollar – allerdings abhängig von der Plattform, in der die gefundene Sicherheitslücke steckt.
[mit Material von Larry Seltzer, ZDNet.com]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…
Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…
