Microsoft startet Sicherheitsprämienprogramm für Online-Dienste

Den Anfang macht Office 365. Ab sofort können Sicherheitsforscher bisher noch nicht entdeckte Schwachstellen in der Online-Bürosoftware melden. Sie erhalten dafür mindestens 500 Dollar, sofern der Hinweis den Programmrichtlinen entspricht.

Microsoft hat ein weiteres Prämienprogramm gestartet, in dessen Rahmen es Finder neuer Sicherheitslücken in seinen Online-Diensten bezahlt. Den Anfang macht Office 365. Ab sofort erhalten Sicherheitsforscher, die noch nicht entdeckte Anfälligkeiten in der Online-Bürossoftware melden, mindestens 500 Dollar.

Office 365

Microsoft entscheidet von Fall zu Fall, ob ein gemeldeter Bug den Richtlinien des Online Services Bug Bounty Program entspricht und sein Finder somit die Belohnung erhält. Zahlen will das Unternehmen beispielsweise für Hinweise auf folgende Arten von Sicherheitslücken: Cross Site Scripting (XSS), Cross Site Request Forgery (CSRF), Insecure Direct Object Reference, Injection- und Authentifizierungsfehler, serverseitige Codeausführung, Rechteausweitung und bedeutende Security-Fehlkonfigurationen.

In den Programmrichtlinien listet Microsoft auch die Domains auf, für die es Belohnungen auslobt. Zwar findet sich in der Liste auch outlook.com, aber nur als Teil der E-Mail-Services-Applikationen von Office 365 für Unternehmen. Die Consumer-Version von outlook.com ist ausdrücklich von den Prämienzahlungen ausgeschlossen.

Darüber hinaus zählt Microsoft einige nicht für das Programm qualifizierte Anfälligkeiten auf. Dazu zählt auch Denial of Service (DoS), das ernsthafte Folgen haben kann. Wahrscheinlich will Microsoft aber nicht zu DoS-Tests ermuntern.

Während der Entwicklung von Internet Explorer 11 hatte Microsoft ein ähnliches Prämienprogramm angeboten. Seit Mitte Juni 2013 zahlt es auch Belohnungen für Hinweise auf Techniken zur Umgehung von Sicherheitsfunktionen wie Address Space Layout Randomization (ASLR), das das Ausnutzen von Sicherheitslücken erschweren soll. Sie können sich auf bis zu 100.000 Dollar belaufen. Eine Übersicht über laufende und abgeschlossene Bug-Bounty-Programme findet sich auf Microsofts Technet-Website.

Außer Microsoft loben unter anderem auch Google und Facebook Prämien für Hinweise auf zuvor noch nicht entdeckte Sicherheitslücken in ihren Produkten aus. Im November letzten Jahres starteten die Unternehmen über die Organisation HackerOne sogar ein gemeinsames Sicherheitsbelohnungsprogramm namens Internet Bug Bounty. Die ausgeschriebenen Mindestpreisgelder betragen bis zu 5000 Dollar – allerdings abhängig von der Plattform, in der die gefundene Sicherheitslücke steckt.

[mit Material von Larry Seltzer, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Themenseiten: Microsoft, Office, Secure-IT

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Microsoft startet Sicherheitsprämienprogramm für Online-Dienste

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *