Categories: SicherheitVirus

Microsoft bietet bis zu 250.000 Dollar für neue Spectre-Bugs

Microsoft hat ein neues Belohnungsprogramm für Sicherheitslecks aufgelegt. Wer dem Hersteller bis zum 31. Dezember dieses Jahres ein neues Sicherheitsleck im Bereich Speculative Execution meldet, kann mit einer Belohnung in Höhe von 250.000 Dollar rechnen.

Preisliste für neue Lecks a la Spectre und Meltdown. Microsoft will mit dem neuen Programm Hackern zuvor kommen, die bereits an neuen Angriffswegen feilen (Bild: Microsoft)

Sollte ein Forscher oder eine andere Person in der Lage sein, bestehende Sicherheitsmechanismen in einem vollständig gepatchten Microsoft Windows umgehen können und dabei auf Informationen in dem Betriebssystem zugreifen können, bezahlt Microsoft die Rekordsumme von 250.000 Dollar. Allerdings nur wenn es sich wie gesagt um ein Speculative-Execution-Leck handelt. Microsoft hat offenbar mit diesem Programm aus guten Grund bis zum März-Patchday gewartet, weil der Anbieter hier noch einmal weitere Patches für die genannten Lecks integriert hat.

HIGHLIGHT

Report: State of Digital Transformation EMEA 2019

Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!

Wenn ein „Hacker“ in der Lage ist, auf Azure in der Lage ist, die Memory auszulesen, die nicht der virtuellen Maschine zugewiesen ist, in der sich der Angreifer aufhält, bezahlt Microsoft bis zu 200.000 Dollar. Voraussetzung ist natürlich, dass Azure auf aktuellstem Stand ist.

Diese neue Klasse betrifft jedoch ausschließlich die Fehlerkategorie, in die auch die im Januar bekannt gewordenen Fehler Meltdown und Spectre hineinfallen, die durch ein spezielles Design der Chips und der Microcodes möglich wurden.

„Mit dieser geänderten Bedrohungslag, starten wir ein Bounty-Programm, um die Forschungsaktivitäten speziell in dieser neuen Klasse von Verwundbarkeiten und den Schutzmechanismen, die Microsoft eingeführt hat, zu fördern“, so Microsoft in einem Blog zu dem neuen Programm.

Insgesamt ist das Sonderprogramm in vier Tiers aufgeteilt. Für einen Forscher, der in der Lage ist, die Sicherheitsmechanismen zu umgehen, die Microsoft gegen die genannten Fehler entwickelt hat, gibt es daher ebenfalls bis zu 200.000 Dollar. Für eine Instanz eines bekannten Fehlers, etwa für CVE-2017-5753 in Windows 10 oder dem Browser Edge bezahlt Microsoft bis zu 25.000 Dollar, wenn der „Angreifer“ in der Lage ist, sensible und geschützte Informationen aus dem System auszulesen.

„Speculative Executions ist tatsächlich eine neue Klasse von Verwundbarkeiten, und wir erwarten, dass bereits verschiedene neue Forschungen auf dem Weg sind, neue Angriffsmethoden dafür zu entwickeln“, kommentiert Phillip Minser, von Microsofts Security Response Centre in einem Blog.

Vor einigen Wochen hatte Intel ein ähnliches Programm aufgelegt. Die Ausgelobten Summen sind auch mit denen von Microsoft vergleichbar. Beide Programme haben zum Ziel, solche weitreichenden Sicherheitslecks möglichst schnell zu erkennen und diese branchenweit koordiniert anzugehen. In einem eigenen weiteren Blog hat das Sicherheits-Team von Microsoft die Informationen zusammengetragen, die bereits über diese neue Kategorie von Sicherheitslecks bekannt sind.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Martin Schindler

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

4 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago