Microsoft hat ein neues Belohnungsprogramm für Sicherheitslecks aufgelegt. Wer dem Hersteller bis zum 31. Dezember dieses Jahres ein neues Sicherheitsleck im Bereich Speculative Execution meldet, kann mit einer Belohnung in Höhe von 250.000 Dollar rechnen.
Preisliste für neue Lecks a la Spectre und Meltdown. Microsoft will mit dem neuen Programm Hackern zuvor kommen, die bereits an neuen Angriffswegen feilen (Bild: Microsoft)
Sollte ein Forscher oder eine andere Person in der Lage sein, bestehende Sicherheitsmechanismen in einem vollständig gepatchten Microsoft Windows umgehen können und dabei auf Informationen in dem Betriebssystem zugreifen können, bezahlt Microsoft die Rekordsumme von 250.000 Dollar. Allerdings nur wenn es sich wie gesagt um ein Speculative-Execution-Leck handelt. Microsoft hat offenbar mit diesem Programm aus guten Grund bis zum März-Patchday gewartet, weil der Anbieter hier noch einmal weitere Patches für die genannten Lecks integriert hat.
Report: State of Digital Transformation EMEA 2019
Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!
Wenn ein „Hacker“ in der Lage ist, auf Azure in der Lage ist, die Memory auszulesen, die nicht der virtuellen Maschine zugewiesen ist, in der sich der Angreifer aufhält, bezahlt Microsoft bis zu 200.000 Dollar. Voraussetzung ist natürlich, dass Azure auf aktuellstem Stand ist.
Diese neue Klasse betrifft jedoch ausschließlich die Fehlerkategorie, in die auch die im Januar bekannt gewordenen Fehler Meltdown und Spectre hineinfallen, die durch ein spezielles Design der Chips und der Microcodes möglich wurden.
„Mit dieser geänderten Bedrohungslag, starten wir ein Bounty-Programm, um die Forschungsaktivitäten speziell in dieser neuen Klasse von Verwundbarkeiten und den Schutzmechanismen, die Microsoft eingeführt hat, zu fördern“, so Microsoft in einem Blog zu dem neuen Programm.
Insgesamt ist das Sonderprogramm in vier Tiers aufgeteilt. Für einen Forscher, der in der Lage ist, die Sicherheitsmechanismen zu umgehen, die Microsoft gegen die genannten Fehler entwickelt hat, gibt es daher ebenfalls bis zu 200.000 Dollar. Für eine Instanz eines bekannten Fehlers, etwa für CVE-2017-5753 in Windows 10 oder dem Browser Edge bezahlt Microsoft bis zu 25.000 Dollar, wenn der „Angreifer“ in der Lage ist, sensible und geschützte Informationen aus dem System auszulesen.
„Speculative Executions ist tatsächlich eine neue Klasse von Verwundbarkeiten, und wir erwarten, dass bereits verschiedene neue Forschungen auf dem Weg sind, neue Angriffsmethoden dafür zu entwickeln“, kommentiert Phillip Minser, von Microsofts Security Response Centre in einem Blog.
Vor einigen Wochen hatte Intel ein ähnliches Programm aufgelegt. Die Ausgelobten Summen sind auch mit denen von Microsoft vergleichbar. Beide Programme haben zum Ziel, solche weitreichenden Sicherheitslecks möglichst schnell zu erkennen und diese branchenweit koordiniert anzugehen. In einem eigenen weiteren Blog hat das Sicherheits-Team von Microsoft die Informationen zusammengetragen, die bereits über diese neue Kategorie von Sicherheitslecks bekannt sind.
So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden
Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.
Neueste Kommentare
Noch keine Kommentare zu Microsoft bietet bis zu 250.000 Dollar für neue Spectre-Bugs
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.