Microsoft lobt 15.000 Dollar für Remote nutzbare Bugs in Edge aus

Microsoft hat zugesagt, Sicherheitsforscher mit 500 bis 15.000 Dollar zu belohnen, wenn sie Schwachstellen im Browser Edge der Windows-Insider-Preview-Builds finden, die Codeausführung aus der Ferne ermöglichen. Diese Ausschreibung gilt zehn Monate lang.

Mit dieser Schwerpunktmaßnahme ergänzt Microsoft vorübergehend sein Prämienprogramm für Sicherheitslücken, in dessen Rahmen es Forscher entlohnt, die ihm Schwachstellen direkt melden, sodass es sie vor einer Offenlegung beseitigen kann. Da die neue Prämie ausschließlich für die Preview-Versionen gilt, kann Microsoft sogar härten, bevor ein Patch allgemein verfügbar wird.

Ein zweiter Schwerpunkt gilt dem quelloffenen Chakra, Microsofts JavaScript-Engine für Edge. Das Programm läuft ab sofort und noch bis 15. Mai 2017.

Da eine Testphase weniger linear verläuft als etwa Bugfixes eines als Produktivversion verfügbaren Betriebssystems, will Microsoft gemeldete Fehler mit immerhin bis zu 1500 Dollar entlohnen, wenn es sie schon kennt. Ausführlich schreibt der Konzern: „Da die Prämienprogramme in frühere Software-Releases vorstoßen, könnte es häufiger passieren, dass Schwachstellen gemeldet werden, an deren Behebung Microsoft bereits arbeitet. In diesem Fall wird als Anerkennung für die Anstrengungen, die zur Entdeckung der Lücke führten, der erste Forscher, der sie meldet, bis zu 1500 Dollar erhalten.“

Im vergangenen Jahr hatte Microsoft schon einmal die gleiche Summe für Fehler in der Preview-Version von Edge ausgeschrieben. Damals beschränkte das Angebot sich auf einen Dreimonatszeitraum. Allgemein schreibt Microsoft immer wieder gezielt Prämien für Fehler in Betaprodukten aus. Im Juni öffnete es ein vier Monate umfassendes Fenster, in dem es Fehler in den Testversionen von .NET Core und ASP.NET Core RC2 ebenfalls mit bis zu 15.000 Dollar honoriert.

Das Windows-Insider-Programm hatte Microsoft während der Entwicklung von Windows 10 ins Leben gerufen, aber über den Release hinaus beibehalten, um fortlaufend neue Funktionen und Verbesserungen von Freiwilligen testen zu lassen. Es unterscheidet einen Fast und Slow Ring, die Vorabversionen unterschiedlichen Reifegrads verfügbar machen. Im Februar kam ein Release Preview Ring hinzu.

Das Edge-Prämienprogramm eröffnet der Konzern parallel zur Verfügbarkeit des Windows 10 Anniversary Update, das mit EdgeHTML 14 die dritte Aktualisierung der Edge-Webplattform bringt. Sie enthält zusätzlichen Schutz vor Kernel-Angriffen und schränkt Adobe Flash weiter ein, indem Flash-Programme in isolierten Containern ausgeführt werden. Außerdem müssen User Flash-Elemente erst anklicken, bevor diese in Aktion treten können.

[mit Material von Liam Tung, ZDNet.com]

Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.