Viren, Spyware, Datenschutz 11.012 Themen, 90.994 Beiträge

News: Auf zur Jagd!

Microsoft bezahlt für Sicherheitslücken

xafford / 2 Antworten / Baumansicht Nickles

In einem Beitrag im Microsoft Technet-Blog vom Montag dieser Woche kündigt das Unternehmen an dass es für gemeldete Sicherheitslücken in eigenen, neuen Software-Produkten im Rahmen des 2002 gestarteten Trustworthy Computing Programms eine Belohnung zu zahlen. Die Aktion startet am 26. Juni 2013 und ist in drei Kategorien unterteilt, die sich auf verschiedene Arten von Lücken und Software-Produkte bezieht:

  1. Microsoft verspricht, bis zu 100.000 Dollar für gemeldete, neuartige Lücken zu zahlen, die es ermöglichen die Schutzfunktionen in der Preview-Version von Windows 8.1 (auch bekannt als Windows Blue) zu umgehen.
  2. Zusätzlich zu der Belohnung unter Punkt 1 verspricht Microsoft noch einmal bis zu 50.000 Dollar, wenn für die gefundene Lücke auch noch eine mögliche Lösung hierzu gemeldet wird.
  3. Etwas weniger lukrativ ist die Belohnung für gefundene Lücken in der Preview des Internet Explorer 11, hierfür zahlt Microsoft noch bis zu 11.000 Dollar. Das Programm für Lücken im Internet Explorer 11 ist auf 30 Tage (bis zum 26. Juli) beschränkt.
Microsoft Security Bounty Programm (Quelle: Screenshot Microsoft)
Sinn dieser Aktion soll es sein, möglichst viele Lücken bereits im Vorfeld der eigentlichen Endversionen zu schließen und solche "Bug Bounty Programme" sind auch nichts neues, auch andere Unternehmen wie beispielsweise Google veranstalten diese von Zeit zu Zeit. Allerdings sind die Preise bei diesem Programm durchaus bemerkenswert und könnten dadurch ein recht großes Echo hervor rufen.

Das Microsoft Security Response Center hat für dieses Programm eine eigene Seite online gestellt mit weiteren Details und Bedingungen für die Teilnahme.

xafford meint:

Microsoft Produkte sind in der Öffentlichkeit immer noch nicht dafür bekannt sicher zu sein. Allerdings ist diese Meinung heute nur noch zum Teil zutreffend, denn seit bereits über 10 Jahren investiert Microsoft viel Zeit und Geld in die Sicherheit ihrer Software. Diese Investitionen haben sich mit den Jahren auch durchaus ausgezahlt, die Sicherheit von Windows 7 und Windows 8 ist als durchaus sehr gut zu bezeichnen und auch auf der Server-Seite hat Microsoft sehr viel verbessert und die Zeiten, wo es als fahrlässig galt, einen Microsoft Server an das Internet anzubinden sind weitgehend vorbei.

Sorgenkinder wie der Internet Explorer sind auch auf dem Weg zur Besserung und kein Vergleich mehr zum Trojaner-Sammler Internet Explorer 6. Trotz allem wird es nie und niemandem gelingen eine Software auf den Markt zu bringen, die von sich behaupten kann, keine Lücken zu besitzen (Hello-World einmal außen vor gelassen, und selbst da wäre ich mir nicht sicher). Im Zuge solcher Sicherheitsbestrebungen sind Programme wie diese sehr zu begrüßen, denn Lücken werden früher oder später gefunden und im schlimmsten Fall meistbietend auf entsprechenden Plattformen verkauft. Da ist es besser, der Hersteller kauft diese und nutzt die Informationen zum Abdichten seiner Software - bei diesen Preisen wird auch der ein oder andere "Böse Junge" durchaus überlegen die gefundenen Lücken lieber an Microsoft zu verkaufen, als an Kriminelle und/oder Geheimdienste.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
Xdata xafford

„Microsoft bezahlt für Sicherheitslücken“

Optionen

Leider scheint sich noch - allzuleicht
alles
tief in das System installieren zu können.

Stichwort Yontoo hier im Forum.

Wobei statistisch "gefühlt" es unter Windows (fast) egal zu seien scheint (?)
ob man als Administrator bzw. mit vergleichbaren Rechten im Internet ist
oder nur mit eingeschränktem Account oder gar mit dem Gastkonto ..

Das anscheinend leichte Installieren von "Geschichten" die sich tief in das Windows System eingraben.
UAC schalte ich ab Vista natürlich dennoch nicht ab.

Aber es sieht, statistisch betrachtet, so aus als existiere bei Internet -Surfen in Windows
keine Benutzer Abstufung -- keine  für die Schadsoftware wirksamen Benutzerrechte.

Jüki hat mal bei Xp gesagt, keine eingeschränkten Konten bei seinen  betreuten Xp
angelegt zu haben.

Anscheinend nur scheinbar oder bedingt unsicher,
wenn beim Surfen, bei Internet, für  Malware zumindest der Unterschied keine große Hürde zu sein scheint.

Wobei hier die Fälle wo der User selbst klicken muß - oder beteiligt ist durch eine Abfrage
mal ausgeschlossen sein sollen.
Dies wird ja immer als Argument genommen. Brain, selber Schuld oder so.

Es scheint weitgehend ohne Aktion des Users möglich zu sein,
sich doch etwas einzufangen.

Soll es nur an nicht  voll aktuellen Windows oder Software wie Java, Flash liegen ..
insbesondere den Browsern die alles unbemerkt installieren dürfen?



Ist nicht so pessimistisch gemeint wie es sich im Text anhört.
Windows ist nicht soo unsicher wie es oft behauptet wird.

Es düfte einem Browser nur nicht erlaubt werden, Online irgendwas zu installieren was auch nur
entfernt Systemrechte hat.
-- Auch nicht die Möglichkeit, für einem User unsichtbare, Programe zu installieren.

Das gelingt dann auch den potenziellen Angreifern.



bei Antwort benachrichtigen
mi~we Xdata

„Leider scheint sich noch - allzuleicht alles tief in das ...“

Optionen
insbesondere den Browsern die alles unbemerkt installieren dürfen?
Es düfte einem Browser nur nicht erlaubt werden, Online irgendwas zu installieren ......Auch nicht die Möglichkeit, für einem User unsichtbare, Programe zu installieren.
Das dürfen ( bzw. können) Browser ja auch gar nicht. So etwas passiert nur wegen Sicherheitslücken z.B. in Browser-Plugins. Kein Browser enthält Funktionen, um unbemerkt irgendwelche (Schad-)Software zu installieren.
"Es wäre dumm, sich über die Welt zu ärgern. Sie kümmert sich nicht darum." (Marc Aurel)
bei Antwort benachrichtigen