Categories: Sicherheit

Adobe führt Schwachstellen-Meldeprogramm ein

Adobe hat ein Meldeprogramm für Sicherheitslücken in seinen Produkten gestartet. Wie viele solche Programme wird auch dieses auf der Plattform HackerOne gehostet. Prämien hat Adobe bisher nicht ausgeschrieben. Die einzige Belohnung für von Adobe akzeptierte Lücken ist ein verbesserter Punktewert für „Reputation“ („Ansehen“) auf HackerOne.

In einem kurzen Blogbeitrag informiert Adobe, dass Entwickler auf diese Weise vertraulich Sicherheitslücken melden könnten. Adobes Security Program Manager Pieter Ockers schreibt zudem, der Anlass sei „Anerkennung der wichtigen Rolle, die unabhängige Sicherheitsforscher spielen, wenn es darum geht, Adobe-Kunden sicher zu halten.“

In den Richtlinien auf HackerOne wird erklärt, dass sich das Programm auf Produkte beschränkt, die Adobe gehören. Das Unternehmen fordert die Community auf, sich auf konkrete Lücken wie Cross-Site Scripting, serverseitige Code-Ausführung, Injection, Authentifizierungsfehler und Fehleinstellungen im Sicherheitsbereich zu beschränken. Gefälschte seitenübergreifende Anfragen, Probleme beim Zurücksetzen von Passwörtern, fehlende HTTP-Security-Header, Cookie-Flags und Clickjacking auf statischen Seiten sind aufgrund ihrer geringen Gefahrenstufe ausgenommen, wenn nicht ein Exploit vorgelegt wird.

Entwickler müssen Schwachstellen zunächst einmal melden und Adobe anschließend eine „vernünftige“ Zeitspanne zur Behebung einräumen, wenn sie als Entdecker anerkannt werden wollen. Erst im Nachhinein dürfen sie die Schwachstelle öffentlich machen.

Sicherheitsprogramme ohne Prämien sind auch auf HackerOne – trotz dessen Reputationssystem – ungewöhnlich. Yahoo zahlt beispielsweise 50 bis 15.000 Dollar, und Mail.ru lobt für entdeckte Fehler in seinem Authentifizierungssystem 150 bis 10.000 Dollar aus. Ebenfalls auf HackerOne haben Facebook, Google und Microsoft ihr Programm Internet Bug Bounty realisiert. Die ausgeschriebenen Mindestpreisgelder betragen bis zu 5000 Dollar.

Ein besonders hohes Preisgeld von 125.000 Dollar hatte Microsoft im Februar Forschern von HP Security ausbezahlt, die eine schwere Anfälligkeit im Browser Internet Explorer fanden und auch Verteidigungsstrategien vorschlugen. Bemerkenswert ist zudem, dass Facebook im Jahr 2013 rund 1,5 Millionen und 2014 etwa 1,3 Millionen Dollar an Prämien ausgeschüttet hat. Seit Einführung des Programms 2011 summieren sich die Prämien somit auf rund 3 Millionen Dollar.

Adobe verteilt seit 2012 Patches im Rhythmus von Microsofts Patch Tuesday, also monatlich. Im Januar stopfte es beispielsweise vier kritische Lücken. Zusätzlich sind immer wieder außerplanmäßige Patches für Lücken erforderlich, die bereits ausgenutzt werden.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

3 Stunden ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

6 Stunden ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

6 Stunden ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

9 Stunden ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

10 Stunden ago

Latrodectus: Gefährlicher Nachfolger von IcedID

Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.

10 Stunden ago