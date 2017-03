In den nächsten drei Monaten zahlt Microsoft bis zu 30.000 Dollar für gemeldete Fehler in wesentlichen Office-365-Anwendungen. Das soll die Aufmerksamkeit von Sicherheitsforschungen in diese Richtung lenken. Auch Google lobt höhere Bug-Prämien bis zu 31.337 Dollar aus.

Für die nächsten drei Monate verdoppelt Microsoft sein Prämienprogramm für von Sicherheitsforschern gemeldete Schwachstellen. Die temporär ausgelobten Belohnungen belaufen sich auf bis zu 30.000 Dollar für Fehler, die in essentiellen Office-365-Anwendungen entdeckt werden. In diese Richtung will Microsoft offenbar die Aufmerksamkeit teilnehmender Forscher mit den größeren Ausschüttungen lenken.

Das reguläre Programm belohnt die Forscher mit Beträgen zwischen 500 Dollar und 15.000 Dollar für infrage kommende Bugs, die in mehreren Dutzend Bereichen gemeldet werden. Bis zu 100.000 Dollar winken außerdem Sicherheitsexperten, die wirksame Abwehrmaßnahmen gegen gefährliche Exploits ausarbeiten oder denen es gelingt, die Abwehr der aktuellen Windows-Plattform in einer neuartigen Weise zu umgehen.

Das temporäre Bug-Bounty-Programm gilt hingegen für Sicherheitslöcher, die in portal.office.com, outlook.office365.com, outlook.office.com, outlook.live.com, *.outlook.com und outlook.com zu finden sind. Es läuft in den drei Monaten zwischen dem 1. März und dem 1. Mai.

„Es ist lebenswichtig für unsere Kunden, Exchange Online zu sichern, die von Microsoft gehostete E-Mail-Lösung, da es Zugang zu kritischen Nutzerinformationen wie E-Mail, Kalendern, Kontakten und Aufgaben für alle Endgeräte bietet“, erläutern Mitarbeiter des Microsoft Security Response Center (MSRC) zum Programm. „Das Office-365-Admin-Portal ist das Web-Management-Interface für die Verwaltung des Kundenzugangs. Dieses Portal spielt eine wichtige Rolle dabei, Kunden und Administratoren vor Kompromittierung zu schützen.“

Auch Google erhöhte in diesem Monat seine Bug-Prämien und begründete es damit, dass es inzwischen schwieriger geworden ist, Sicherheitslücken zu finden. Die höchste Belohnung für die Meldung Remotecodeausführung erlaubender Fehler in den Google-, Blogger- und Youtube-Domains wurde um gut 50 Prozent angehoben von 20.000 auf 31.337 Dollar. Im Jahr 2016 zahlte Google mit seinen Prämienprogrammen über 3 Millionen Dollar an Sicherheitsforscher aus.

[mit Material von Liam Tung, ZDNet.com]