Microsoft zahlt Prämien für aufgedeckte Sicherheitslücken – auch in Betaversionen

Nachdem immer weniger Schwachstellen direkt gemeldet wurden, legt Microsoft erstmals ein Prämienprogramm auf. Es verspricht besonders hohe Belohnungen und bezieht Preview-Versionen von Windows sowie Internet Explorer mit ein.

Microsoft lobt Belohnungen bis zu 100.000 Dollar für aufgedeckte Sicherheitslücken aus. Es folgt damit dem Beispiel von Google und anderen Unternehmen, die schon länger mit solchen Prämienprogrammen zu motivieren versuchen. Sicherheitsforscher fordern das seit Jahren; sie warfen Microsoft bisher vor, ohne eigene Beteiligung von den Bug-Bounty-Programmen anderer Firmen zu profitieren. Es bekam beispielsweise von Verisigns iDefense und der von HP initiierten Zero Day Initiative Schwachstellen in seiner Software gemeldet, die ihrerseits Belohnungen bis zu 10.000 Dollar auszahlten.

ms_windows_office-v6

Der Softwarekonzern hatte zwar im letzten Jahr den Sicherheitspreis BlueHat für die Entwicklung kreativer Ideen für Abwehrmechanismen vergeben, aber selbst kein laufendes Prämienprogramm aufgelegt. Jetzt schwenkt er nicht nur um, sondern verspricht besonders hohe Prämien – und das sogar für Sicherheitslücken in Betaversionen.

Das BlueHat-Team Microsofts lädt „Freunde, Hacker, Forscher“ zur Teilnahme an den Prämienprogrammen ein, die am 26. Juni 2013 beginnen. Bis zu 100.000 Dollar winken für wirklich neuartige Exploit-Techniken, mit denen sich der Schutz der aktuellsten Betriebssystemversion (Windows 8.1 Preview) aushebeln lässt. Einen zusätzlichen Bonus von 50.000 Dollar soll es geben, wenn zugleich Ideen für eine bessere Abwehr ausgeführt werden. Bis zu 11.000 Dollar stellt Microsoft für kritische Schwachstellen in Aussicht, die die Preview von Internet Explorer 11 auf der aktuellsten Windows-Version (8.1 Preview) betreffen. Abhängig vom Erfolg dieser Prämienprogramme könnten weitere folgen und beispielsweise auch Azure, Office 365 und die Xbox-Live-Plattform betreffen.

„Das ist das Klügste, was wir machen können“, erklärte Katie Moussouris vom Microsoft Security Response Center (MSRC) gegenüber ZDNet.com. „Wir haben uns angesehen, was die Sicherheitsforscher tun, und eine Trendänderung bei den Meldungen festgestellt. Vor ein paar Jahren kamen die Forscher direkt zu Microsoft. Dahin wollen wir zurückkehren.“

Die Einbeziehung von Betaversionen begründete sie damit, dass die meisten anderen Organisationen das versäumten: „Wenn Vermittler Geld boten, dann berichteten die Forscher. Daher gab es während der Betaphasen keinen Anreiz für Berichte. Microsoft will diese Lücke füllen.“

[mit Material von Zack Whittaker, ZDNet.com]

Themenseiten: Forschung, Microsoft, Secure-IT

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

2 Kommentare zu Microsoft zahlt Prämien für aufgedeckte Sicherheitslücken – auch in Betaversionen

Kommentar hinzufügen
  • Am 20. Juni 2013 um 16:47 von Holger Eskerski

    Meiner Meinung nach hat Microsoft genug Entwickler und versierte Programmierer bei der Hand um sich mit derartigen Praktiken nicht blamieren zu müssen – klar ist es einfacher und billiger sich von anderen die eigenen Fehler ausbügeln zu lassen. Da ich in meiner Freizeit gerne spiele bin ich auf „windows“ angewiesen – die Spieleentwickler haben sich zu 95 % auf windows eingestellt. Nur die Spieleentwickler/-betreiber merken es sofort, wenn sie ein unfertiges oder verbuggtes Spiel auf den Markt bringen ( verkaufszahlen minus! ); warum funktioniert dieses System nicht bei anderen Programmen, wie zum Beispiel bei “ windows “ ?

    • Am 20. Juni 2013 um 17:16 von Sebastian Lange

      ganz einfach: weil es IMMER fehler und schwachstellen gibt, die hacker ausnutzen können. sei es nun bei apple oder bei windows, bei android oder ios, bei chrome oder bei firefox, bei flash, silverlight und bei allen möglichen plug-in´s. da ist es schwer, wirklich alle sicherheitslöcher zu finden. vor allem, da die hacker immer raffinierter werden und raubkopien, bzw modifikation an geräten der neue trend ist. microsoft und google machen das beste was es gibt: ordentliche prämien ausgeben und die hacker auffordern, dass sie sicherheitslücken verbessern. wer sich bemühen will, der wird auch belohnt. microsoft hat das erkannt. geld hat der konzern ja genug, also warum sollten die leute, die fehler entdecken, nicht entsprechend entlohnt werden :) und das hat alles nichts mit spielen zu tun . natürlich hat auch JEDES spiel bugs, ich kenne bei jedem bekannten spiel fehler, wie man aus der welt raus“glitchen“ kann. (out of map). aber es gibt halt spiele wie gta4, welche sehr sauber und mit liebe programmiert wurden, oder es gibt spiele wie assassins creed 3, wo das ganze spiel verbuggt und unsauber programmiert wirkt. es wird bei software IMMER fehler geben. die frage ist nur, wie viele…!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *