Microsoft hat ein neues Belohnungsprogramm für Sicherheitslecks aufgelegt. Wer dem Hersteller bis zum 31. Dezember dieses Jahres ein neues Sicherheitsleck im Bereich Speculative Execution meldet, kann mit einer Belohnung in Höhe von 250.000 Dollar rechnen.
Sollte ein Forscher oder eine andere Person in der Lage sein, bestehende Sicherheitsmechanismen in einem vollständig gepatchten Microsoft Windows umgehen können und dabei auf Informationen in dem Betriebssystem zugreifen können, bezahlt Microsoft die Rekordsumme von 250.000 Dollar. Allerdings nur wenn es sich wie gesagt um ein Speculative-Execution-Leck handelt. Microsoft hat offenbar mit diesem Programm aus guten Grund bis zum März-Patchday gewartet, weil der Anbieter hier noch einmal weitere Patches für die genannten Lecks integriert hat.
Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!
Wenn ein „Hacker“ in der Lage ist, auf Azure in der Lage ist, die Memory auszulesen, die nicht der virtuellen Maschine zugewiesen ist, in der sich der Angreifer aufhält, bezahlt Microsoft bis zu 200.000 Dollar. Voraussetzung ist natürlich, dass Azure auf aktuellstem Stand ist.
Diese neue Klasse betrifft jedoch ausschließlich die Fehlerkategorie, in die auch die im Januar bekannt gewordenen Fehler Meltdown und Spectre hineinfallen, die durch ein spezielles Design der Chips und der Microcodes möglich wurden.
„Mit dieser geänderten Bedrohungslag, starten wir ein Bounty-Programm, um die Forschungsaktivitäten speziell in dieser neuen Klasse von Verwundbarkeiten und den Schutzmechanismen, die Microsoft eingeführt hat, zu fördern“, so Microsoft in einem Blog zu dem neuen Programm.
Insgesamt ist das Sonderprogramm in vier Tiers aufgeteilt. Für einen Forscher, der in der Lage ist, die Sicherheitsmechanismen zu umgehen, die Microsoft gegen die genannten Fehler entwickelt hat, gibt es daher ebenfalls bis zu 200.000 Dollar. Für eine Instanz eines bekannten Fehlers, etwa für CVE-2017-5753 in Windows 10 oder dem Browser Edge bezahlt Microsoft bis zu 25.000 Dollar, wenn der „Angreifer“ in der Lage ist, sensible und geschützte Informationen aus dem System auszulesen.
„Speculative Executions ist tatsächlich eine neue Klasse von Verwundbarkeiten, und wir erwarten, dass bereits verschiedene neue Forschungen auf dem Weg sind, neue Angriffsmethoden dafür zu entwickeln“, kommentiert Phillip Minser, von Microsofts Security Response Centre in einem Blog.
Vor einigen Wochen hatte Intel ein ähnliches Programm aufgelegt. Die Ausgelobten Summen sind auch mit denen von Microsoft vergleichbar. Beide Programme haben zum Ziel, solche weitreichenden Sicherheitslecks möglichst schnell zu erkennen und diese branchenweit koordiniert anzugehen. In einem eigenen weiteren Blog hat das Sicherheits-Team von Microsoft die Informationen zusammengetragen, die bereits über diese neue Kategorie von Sicherheitslecks bekannt sind.
Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.
Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…
Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.
2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…
Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…
NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.
Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.
