Microsoft weitet Sicherheitslücken-Prämienprogramm auf .NET Core aus

Microsoft hat sein Bug Bounty Program ausgeweitet. Ab sofort umfasst es auch Beta-Builds von .NET Core und ASP.NET Core RC2. Bei Letzterem handelt es sich um Microsofts inzwischen plattformübergreifend einsetzbares, serverseitiges Webentwicklungs-Framework.

Für die Entdeckung kritischer oder schwerwiegender Schwachstellen in den Vorabversionen von .NET Core und ASP.NET Core zahlt Microsoft im Rahmen seines Prämienprogramms bis zu 15.000 Dollar. Damit will es nach eigener Aussage Sicherheitsforscher dazu animieren, Lücken schon während der Vorschauphase an Microsoft zu melden, statt erst nach der allgemeinen Verfügbarkeit des Produkts, um die Auswirkungen auf Kunden zu minimieren. Aus diesem Grund ist das zugehörige Prämienprogramm auch zeitgebunden und läuft am 7. September 2016 aus.

Um eine Belohnung zu erhalten, müssen die gemeldeten Schwachstellen neu und reproduzierbar sein. Microsoft ist vor allem an möglichen Lücken interessiert, die Remotecodeausführung, Rechteausweitung, Denial-of-Service-Angriffe aus der Ferne, Cross-Site-Scripting (XSS), Cross-Site-Request-Forgery sowie andere schwerwiegende Sicherheitsverletzungen wie das Offenlegen von Informationen erlauben. Unterstützt werden die Betriebssysteme Windows, OS X und Linux.

Von dem Prämienprogramm ausgeschlossen sind wie Schwachstellen, die bereits in früheren Versionen von .NET Core oder ASP.NET gefunden wurden. Auch Lücken, die nur durch „unwahrscheinliche Nutzeraktionen“ ausgenutzt werden können, akzeptiert Microsoft nicht.

Als Mindestbetrag zahlt das Unternehmen 500 Dollar an Sicherheitsforscher aus, die eine für das Programm berechtigte Schwachstelle melden. Je nach Schweregrad und Typ steigert sich die Summe dann in mehreren Stufen auf bis zu 15.000 Dollar. In besonders schwerwiegenden Fällen, ist Microsoft auch bereit, eine noch höhere Prämie auszuzahlen.

Ein ähnliches Bug Bounty Program hatte Microsoft vergangenen Monat auch schon für die Bereitstellungsvariante Nano Server gestartet, die eine der wichtigsten Neuerungen von Windows Server 2016 darstellt und das Erstellen wesentlich schlankerer Server erlaubt. Es läuft noch bis zum 29. Juli 2016.

Aktuell liegt Nano Server als Teil der fünften Technical Preview von Windows Server 2016 vor. Es kann als Host für Computer und/oder Storage-Cluster eingesetzt werden sowie als leichtgewichtiges Betriebssystem für Virtuelle Maschinen oder Container für Cloudanwendungen.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Was wissen sie über Microsoft? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.