Microsoft weitet Sicherheitslücken-Prämienprogramm auf .NET Core aus

Für die Entdeckung neuer schwerwiegender Schwachstellen in den Vorabversionen von .NET Core und ASP.NET Core zahlt es zwischen 500 und 15.000 Dollar. So will es sicherstellen, dass die Final möglichst wenig Lecks enthält. Das Prämienprogramm läuft bis zum 7. September 2016.

von Björn Greif am , 21:09 Uhr

Microsoft hat sein Bug Bounty Program ausgeweitet. Ab sofort umfasst es auch Beta-Builds von .NET Core und ASP.NET Core RC2. Bei Letzterem handelt es sich um Microsofts inzwischen plattformübergreifend einsetzbares, serverseitiges Webentwicklungs-Framework.

Microsoft Bug Bounty Program (Bild. Microsoft)Für die Entdeckung kritischer oder schwerwiegender Schwachstellen in den Vorabversionen von .NET Core und ASP.NET Core zahlt Microsoft im Rahmen seines Prämienprogramms bis zu 15.000 Dollar. Damit will es nach eigener Aussage Sicherheitsforscher dazu animieren, Lücken schon während der Vorschauphase an Microsoft zu melden, statt erst nach der allgemeinen Verfügbarkeit des Produkts, um die Auswirkungen auf Kunden zu minimieren. Aus diesem Grund ist das zugehörige Prämienprogramm auch zeitgebunden und läuft am 7. September 2016 aus.

Um eine Belohnung zu erhalten, müssen die gemeldeten Schwachstellen neu und reproduzierbar sein. Microsoft ist vor allem an möglichen Lücken interessiert, die Remotecodeausführung, Rechteausweitung, Denial-of-Service-Angriffe aus der Ferne, Cross-Site-Scripting (XSS), Cross-Site-Request-Forgery sowie andere schwerwiegende Sicherheitsverletzungen wie das Offenlegen von Informationen erlauben. Unterstützt werden die Betriebssysteme Windows, OS X und Linux.

Von dem Prämienprogramm ausgeschlossen sind wie Schwachstellen, die bereits in früheren Versionen von .NET Core oder ASP.NET gefunden wurden. Auch Lücken, die nur durch „unwahrscheinliche Nutzeraktionen“ ausgenutzt werden können, akzeptiert Microsoft nicht.

HIGHLIGHT

Admin-Tipps für Office 365

Office 365 ermöglicht vielfältige Einstellungsmöglichkeiten für Anwender und Administratoren. Kostenlose Zusatztools und die PowerShell helfen dabei, Office 365 optimal zu konfigurieren.

... zum Artikel.

Als Mindestbetrag zahlt das Unternehmen 500 Dollar an Sicherheitsforscher aus, die eine für das Programm berechtigte Schwachstelle melden. Je nach Schweregrad und Typ steigert sich die Summe dann in mehreren Stufen auf bis zu 15.000 Dollar. In besonders schwerwiegenden Fällen, ist Microsoft auch bereit, eine noch höhere Prämie auszuzahlen.

Ein ähnliches Bug Bounty Program hatte Microsoft vergangenen Monat auch schon für die Bereitstellungsvariante Nano Server gestartet, die eine der wichtigsten Neuerungen von Windows Server 2016 darstellt und das Erstellen wesentlich schlankerer Server erlaubt. Es läuft noch bis zum 29. Juli 2016.

Aktuell liegt Nano Server als Teil der fünften Technical Preview von Windows Server 2016 vor. Es kann als Host für Computer und/oder Storage-Cluster eingesetzt werden sowie als leichtgewichtiges Betriebssystem für Virtuelle Maschinen oder Container für Cloudanwendungen.

Für gemeldete Lücken in den Vorabversionen von .NET Core und ASP.NET Core zahlt Microsoft zwischen 500 und 15.000 Dollar (Screenshot: ZDNet).

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Was wissen sie über Microsoft? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: .NET, Microsoft, Security

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Microsoft weitet Sicherheitslücken-Prämienprogramm auf .NET Core aus

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *