Microsoft hat ein neues Belohnungsprogramm für Sicherheitslecks aufgelegt. Wer dem Hersteller bis zum 31. Dezember dieses Jahres ein neues Sicherheitsleck im Bereich Speculative Execution meldet, kann mit einer Belohnung in Höhe von 250.000 Dollar rechnen.
Sollte ein Forscher oder eine andere Person in der Lage sein, bestehende Sicherheitsmechanismen in einem vollständig gepatchten Microsoft Windows umgehen können und dabei auf Informationen in dem Betriebssystem zugreifen können, bezahlt Microsoft die Rekordsumme von 250.000 Dollar. Allerdings nur wenn es sich wie gesagt um ein Speculative-Execution-Leck handelt. Microsoft hat offenbar mit diesem Programm aus guten Grund bis zum März-Patchday gewartet, weil der Anbieter hier noch einmal weitere Patches für die genannten Lecks integriert hat.
Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!
Wenn ein „Hacker“ in der Lage ist, auf Azure in der Lage ist, die Memory auszulesen, die nicht der virtuellen Maschine zugewiesen ist, in der sich der Angreifer aufhält, bezahlt Microsoft bis zu 200.000 Dollar. Voraussetzung ist natürlich, dass Azure auf aktuellstem Stand ist.
Diese neue Klasse betrifft jedoch ausschließlich die Fehlerkategorie, in die auch die im Januar bekannt gewordenen Fehler Meltdown und Spectre hineinfallen, die durch ein spezielles Design der Chips und der Microcodes möglich wurden.
„Mit dieser geänderten Bedrohungslag, starten wir ein Bounty-Programm, um die Forschungsaktivitäten speziell in dieser neuen Klasse von Verwundbarkeiten und den Schutzmechanismen, die Microsoft eingeführt hat, zu fördern“, so Microsoft in einem Blog zu dem neuen Programm.
Insgesamt ist das Sonderprogramm in vier Tiers aufgeteilt. Für einen Forscher, der in der Lage ist, die Sicherheitsmechanismen zu umgehen, die Microsoft gegen die genannten Fehler entwickelt hat, gibt es daher ebenfalls bis zu 200.000 Dollar. Für eine Instanz eines bekannten Fehlers, etwa für CVE-2017-5753 in Windows 10 oder dem Browser Edge bezahlt Microsoft bis zu 25.000 Dollar, wenn der „Angreifer“ in der Lage ist, sensible und geschützte Informationen aus dem System auszulesen.
„Speculative Executions ist tatsächlich eine neue Klasse von Verwundbarkeiten, und wir erwarten, dass bereits verschiedene neue Forschungen auf dem Weg sind, neue Angriffsmethoden dafür zu entwickeln“, kommentiert Phillip Minser, von Microsofts Security Response Centre in einem Blog.
Vor einigen Wochen hatte Intel ein ähnliches Programm aufgelegt. Die Ausgelobten Summen sind auch mit denen von Microsoft vergleichbar. Beide Programme haben zum Ziel, solche weitreichenden Sicherheitslecks möglichst schnell zu erkennen und diese branchenweit koordiniert anzugehen. In einem eigenen weiteren Blog hat das Sicherheits-Team von Microsoft die Informationen zusammengetragen, die bereits über diese neue Kategorie von Sicherheitslecks bekannt sind.
Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
