Microsoft hat ein weiteres Prämienprogramm gestartet, in dessen Rahmen es Finder neuer Sicherheitslücken in seinen Online-Diensten bezahlt. Den Anfang macht Office 365. Ab sofort erhalten Sicherheitsforscher, die noch nicht entdeckte Anfälligkeiten in der Online-Bürossoftware melden, mindestens 500 Dollar.
Microsoft entscheidet von Fall zu Fall, ob ein gemeldeter Bug den Richtlinien des Online Services Bug Bounty Program entspricht und sein Finder somit die Belohnung erhält. Zahlen will das Unternehmen beispielsweise für Hinweise auf folgende Arten von Sicherheitslücken: Cross Site Scripting (XSS), Cross Site Request Forgery (CSRF), Insecure Direct Object Reference, Injection- und Authentifizierungsfehler, serverseitige Codeausführung, Rechteausweitung und bedeutende Security-Fehlkonfigurationen.
In den Programmrichtlinien listet Microsoft auch die Domains auf, für die es Belohnungen auslobt. Zwar findet sich in der Liste auch outlook.com, aber nur als Teil der E-Mail-Services-Applikationen von Office 365 für Unternehmen. Die Consumer-Version von outlook.com ist ausdrücklich von den Prämienzahlungen ausgeschlossen.
Darüber hinaus zählt Microsoft einige nicht für das Programm qualifizierte Anfälligkeiten auf. Dazu zählt auch Denial of Service (DoS), das ernsthafte Folgen haben kann. Wahrscheinlich will Microsoft aber nicht zu DoS-Tests ermuntern.
Während der Entwicklung von Internet Explorer 11 hatte Microsoft ein ähnliches Prämienprogramm angeboten. Seit Mitte Juni 2013 zahlt es auch Belohnungen für Hinweise auf Techniken zur Umgehung von Sicherheitsfunktionen wie Address Space Layout Randomization (ASLR), das das Ausnutzen von Sicherheitslücken erschweren soll. Sie können sich auf bis zu 100.000 Dollar belaufen. Eine Übersicht über laufende und abgeschlossene Bug-Bounty-Programme findet sich auf Microsofts Technet-Website.
Außer Microsoft loben unter anderem auch Google und Facebook Prämien für Hinweise auf zuvor noch nicht entdeckte Sicherheitslücken in ihren Produkten aus. Im November letzten Jahres starteten die Unternehmen über die Organisation HackerOne sogar ein gemeinsames Sicherheitsbelohnungsprogramm namens Internet Bug Bounty. Die ausgeschriebenen Mindestpreisgelder betragen bis zu 5000 Dollar – allerdings abhängig von der Plattform, in der die gefundene Sicherheitslücke steckt.
[mit Material von Larry Seltzer, ZDNet.com]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Unternehmen greifen von überall aus auf die Cloud und Applikationen zu. Dementsprechend reicht das Burg-Prinzip…
Hacker nutzen eine jetzt gepatchte Schwachstelle im Google-Browser bereits aktiv aus. Die neue Chrome-Version stopft…
Microsoft bietet seit Anfang der Woche einen Patch für die Lücke. Kaspersky-Forscher gehen davon aus,…
Das jüngste Update bringt insgesamt zwölf Fixes. Schadcode lässt sich unter Umständen ohne Interaktion mit…
Eine softwarebasierte Workstation soll es Ingenieuren erlauben, sämtliche Steuerungen zentral zu verwalten. Pilotkunde ist Ford.
Kryptodiebstahl und finanzieller Gewinn sind laut ESET-Forschungsbericht die vorrangigen neuen Ziele.
