Windows 8.1 & Internet Explorer 11

Microsoft schüttet Bug-Prämien aus

Microsoft hat bekannt gegeben, wer die Prämien erhält, die das Unternehmen im Frühsommer für Sicherheitslücken im Internet Explorer 11 sowie in Windows 8.1 ausgelobt hatte.

Microsoft zahlt Prämien für Bug-Funde in Windows 8.1 und IE11.

© Microsoft, Frank Ziemann

Microsoft zahlt Prämien für Bug-Funde in Windows 8.1 und IE11.

Während andere Unternehmen längst so genannte Bug-Bounty-Programme etabliert haben, die externe Sicherheitsforscher mit Prämien für gemeldete Sicherheitslücken belohnen, tat sich Microsoft bis vor Kurzem noch schwer damit. Doch im Juni lobte Microsoft dann doch lukrative Prämien aus. Wer kritische Fehler in den Vorabversionen des Internet Explorer 11 oder Windows 8.1 findet und meldet, sollte belohnt werden.

Jetzt hat Microsoft in seinem BlueHat-Blog verkündet, wer die Gewinner der Prämien sind. Für gemeldete Schwachstellen im Internet Explorer 11 erhalten sechs Forscher Belohnungen in einer Gesamthöhe von über 28.000 US-Dollar. Zwei Forscher hatten sogar mehrere Lücken gemeldet, die als Prämien-würdig erachtet wurden.

So erhält James Forshaw 4.400 Dollar für vier IE-Lücken und weitere 5000 Dollar für Design-Schwächen im IE, man bei Microsoft "cool" findet. Jose Gonzalez hat fünf IE-Lücken gemeldet, die Microsoft mit insgesamt 5.500 Dollar belohnt. Zwei bei Google beschäftigte Forscher haben angegeben, ihre Prämien für wohltätige Zwecke spenden zu wollen.

Der schon erwähnte James Forshaw, Mitarbeiter beim Sicherheitsunternehmen Context Security, erhält zudem die dickste Prämie, die Microsoft jemals ausgeschüttet hat. Für neue Techniken, mit denen Sicherheitsfunktionen in Windows 8.1 ausgetrickst werden können, hatte Microsoft einen Wettbewerb um 100.000 Dollar als "Mitigation Bypass Bounty" ausgeschrieben.

Forshaw kassiert als bislang einziger Sicherheitsforscher die volle Prämie für einen völlig neuen Angriffstyp, dessen Details Microsoft aus nachvollziehbaren Gründen nicht veröffentlicht. Zwar habe ein Microsoft-Entwickler nahezu zeitgleich eine ganz ähnliche Angriffsmethode entdeckt, Forshaws Beitrag sei jedoch von so hoher Qualität, dass er dafür die volle Belohnung erhalten solle.

Im Gegensatz zum Belohnungsprogramm für Schwachstellen in der Preview-Version des Internet Explorer 11 ist der Wettbewerb Mitigation Bypass Bounty nicht abgeschlossen. Wer neue Wege findet, um Sicherheitsmechanismen in der jeweils neuesten Windows-Version zu umgehen, kann sich damit ebenfalls um bis zu 100.000 Prämie bewerben. Wer zudem Möglichkeiten zur Abwehr solcher Angriffe aufzeigen kann, könnte sich für einen Bonus in Höhe von 50.000 Dollar qualifizieren.

Unterdessen geht Google bereits einen Schritt weiter. Das Unternehmen will nach Angaben des Google-Mitarbeiters Michael Zalewski im Google Online Security Blog nicht nur Belohnungen für gemeldete Lücken in den eigenen Produkten, etwa im Browser Chrome, auszahlen. Vielmehr sollen künftig auch Beiträge honoriert werden, die die Sicherheit ausgewählter Open-Source-Software verbessern helfen. Allerdings gibt es die Prämien in Höhe von 500 bis 3133,7 Dollar nicht für das Melden entdeckter Sicherheitslücken, sondern für konkrete Verbesserungsvorschläge.

Mehr zum Thema

Patch Day Juni 2013: Microsoft hat die aktuellen Updates veröffentlicht.
Microsoft Patch Day

Microsoft hat am Patch Day im Juni fünf Security Bulletins veröffentlicht, die 23 Sicherheitslücken in Windows, Internet Explorer und Office…
Was bringt der neue Internet Explorer 11 aus der Windows 8.1-Preview?
Internet Explorer 11

Mit der Windows 8.1 Preview hat Microsoft den Internet Explorer 11 veröffentlicht. Hier gibt es Infos zu den Features und den Neuerungen des…
Microsoft hat am Patch Day Juli 34 Schwachstellen beseitigt.
Patch Day

Am Patch Day hat Microsoft 7 Security Bulletins veröffentlicht, darunter 6 mit der Risikobewertung kritisch. Sie betreffen Windows und den Internet…
Microsoft kündigt die Security Bulletins für den Patch Day Oktober an.
Patch Day voraus

Microsoft hat für den Patch Day am 8. Oktober acht Security Bulletins angekündigt. Vier sind als kritisch eingestuft, vier tragen die…
Windows 8: Aus für Firefox-App.
Kachel-Browser

Mozilla gibt die Einstellung der Firefox App für Windows 8 bekannt. Eine zu geringe Nutzeranzahl und mäßiges Interesse seien einige der Gründe.