Categories: Sicherheit

Adobe führt Schwachstellen-Meldeprogramm ein

Adobe hat ein Meldeprogramm für Sicherheitslücken in seinen Produkten gestartet. Wie viele solche Programme wird auch dieses auf der Plattform HackerOne gehostet. Prämien hat Adobe bisher nicht ausgeschrieben. Die einzige Belohnung für von Adobe akzeptierte Lücken ist ein verbesserter Punktewert für „Reputation“ („Ansehen“) auf HackerOne.

In einem kurzen Blogbeitrag informiert Adobe, dass Entwickler auf diese Weise vertraulich Sicherheitslücken melden könnten. Adobes Security Program Manager Pieter Ockers schreibt zudem, der Anlass sei „Anerkennung der wichtigen Rolle, die unabhängige Sicherheitsforscher spielen, wenn es darum geht, Adobe-Kunden sicher zu halten.“

In den Richtlinien auf HackerOne wird erklärt, dass sich das Programm auf Produkte beschränkt, die Adobe gehören. Das Unternehmen fordert die Community auf, sich auf konkrete Lücken wie Cross-Site Scripting, serverseitige Code-Ausführung, Injection, Authentifizierungsfehler und Fehleinstellungen im Sicherheitsbereich zu beschränken. Gefälschte seitenübergreifende Anfragen, Probleme beim Zurücksetzen von Passwörtern, fehlende HTTP-Security-Header, Cookie-Flags und Clickjacking auf statischen Seiten sind aufgrund ihrer geringen Gefahrenstufe ausgenommen, wenn nicht ein Exploit vorgelegt wird.

Entwickler müssen Schwachstellen zunächst einmal melden und Adobe anschließend eine „vernünftige“ Zeitspanne zur Behebung einräumen, wenn sie als Entdecker anerkannt werden wollen. Erst im Nachhinein dürfen sie die Schwachstelle öffentlich machen.

Sicherheitsprogramme ohne Prämien sind auch auf HackerOne – trotz dessen Reputationssystem – ungewöhnlich. Yahoo zahlt beispielsweise 50 bis 15.000 Dollar, und Mail.ru lobt für entdeckte Fehler in seinem Authentifizierungssystem 150 bis 10.000 Dollar aus. Ebenfalls auf HackerOne haben Facebook, Google und Microsoft ihr Programm Internet Bug Bounty realisiert. Die ausgeschriebenen Mindestpreisgelder betragen bis zu 5000 Dollar.

Ein besonders hohes Preisgeld von 125.000 Dollar hatte Microsoft im Februar Forschern von HP Security ausbezahlt, die eine schwere Anfälligkeit im Browser Internet Explorer fanden und auch Verteidigungsstrategien vorschlugen. Bemerkenswert ist zudem, dass Facebook im Jahr 2013 rund 1,5 Millionen und 2014 etwa 1,3 Millionen Dollar an Prämien ausgeschüttet hat. Seit Einführung des Programms 2011 summieren sich die Prämien somit auf rund 3 Millionen Dollar.

Adobe verteilt seit 2012 Patches im Rhythmus von Microsofts Patch Tuesday, also monatlich. Im Januar stopfte es beispielsweise vier kritische Lücken. Zusätzlich sind immer wieder außerplanmäßige Patches für Lücken erforderlich, die bereits ausgenutzt werden.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

6 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

10 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

11 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

12 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

12 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

14 Stunden ago