Adobe führt Schwachstellen-Meldeprogramm ein

Adobe hat ein Meldeprogramm für Sicherheitslücken in seinen Produkten gestartet. Wie viele solche Programme wird auch dieses auf der Plattform HackerOne gehostet. Prämien hat Adobe bisher nicht ausgeschrieben. Die einzige Belohnung für von Adobe akzeptierte Lücken ist ein verbesserter Punktewert für „Reputation“ („Ansehen“) auf HackerOne.

In einem kurzen Blogbeitrag informiert Adobe, dass Entwickler auf diese Weise vertraulich Sicherheitslücken melden könnten. Adobes Security Program Manager Pieter Ockers schreibt zudem, der Anlass sei „Anerkennung der wichtigen Rolle, die unabhängige Sicherheitsforscher spielen, wenn es darum geht, Adobe-Kunden sicher zu halten.“

In den Richtlinien auf HackerOne wird erklärt, dass sich das Programm auf Produkte beschränkt, die Adobe gehören. Das Unternehmen fordert die Community auf, sich auf konkrete Lücken wie Cross-Site Scripting, serverseitige Code-Ausführung, Injection, Authentifizierungsfehler und Fehleinstellungen im Sicherheitsbereich zu beschränken. Gefälschte seitenübergreifende Anfragen, Probleme beim Zurücksetzen von Passwörtern, fehlende HTTP-Security-Header, Cookie-Flags und Clickjacking auf statischen Seiten sind aufgrund ihrer geringen Gefahrenstufe ausgenommen, wenn nicht ein Exploit vorgelegt wird.

Entwickler müssen Schwachstellen zunächst einmal melden und Adobe anschließend eine „vernünftige“ Zeitspanne zur Behebung einräumen, wenn sie als Entdecker anerkannt werden wollen. Erst im Nachhinein dürfen sie die Schwachstelle öffentlich machen.

Sicherheitsprogramme ohne Prämien sind auch auf HackerOne – trotz dessen Reputationssystem – ungewöhnlich. Yahoo zahlt beispielsweise 50 bis 15.000 Dollar, und Mail.ru lobt für entdeckte Fehler in seinem Authentifizierungssystem 150 bis 10.000 Dollar aus. Ebenfalls auf HackerOne haben Facebook, Google und Microsoft ihr Programm Internet Bug Bounty realisiert. Die ausgeschriebenen Mindestpreisgelder betragen bis zu 5000 Dollar.

Ein besonders hohes Preisgeld von 125.000 Dollar hatte Microsoft im Februar Forschern von HP Security ausbezahlt, die eine schwere Anfälligkeit im Browser Internet Explorer fanden und auch Verteidigungsstrategien vorschlugen. Bemerkenswert ist zudem, dass Facebook im Jahr 2013 rund 1,5 Millionen und 2014 etwa 1,3 Millionen Dollar an Prämien ausgeschüttet hat. Seit Einführung des Programms 2011 summieren sich die Prämien somit auf rund 3 Millionen Dollar.

Adobe verteilt seit 2012 Patches im Rhythmus von Microsofts Patch Tuesday, also monatlich. Im Januar stopfte es beispielsweise vier kritische Lücken. Zusätzlich sind immer wieder außerplanmäßige Patches für Lücken erforderlich, die bereits ausgenutzt werden.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.