Viren, Spyware, Datenschutz 11.086 Themen, 91.918 Beiträge

News: Auf zur Jagd!

Microsoft bezahlt für Sicherheitslücken

xafford / 2 Antworten / Flachansicht Nickles

In einem Beitrag im Microsoft Technet-Blog vom Montag dieser Woche kündigt das Unternehmen an dass es für gemeldete Sicherheitslücken in eigenen, neuen Software-Produkten im Rahmen des 2002 gestarteten Trustworthy Computing Programms eine Belohnung zu zahlen. Die Aktion startet am 26. Juni 2013 und ist in drei Kategorien unterteilt, die sich auf verschiedene Arten von Lücken und Software-Produkte bezieht:

  1. Microsoft verspricht, bis zu 100.000 Dollar für gemeldete, neuartige Lücken zu zahlen, die es ermöglichen die Schutzfunktionen in der Preview-Version von Windows 8.1 (auch bekannt als Windows Blue) zu umgehen.
  2. Zusätzlich zu der Belohnung unter Punkt 1 verspricht Microsoft noch einmal bis zu 50.000 Dollar, wenn für die gefundene Lücke auch noch eine mögliche Lösung hierzu gemeldet wird.
  3. Etwas weniger lukrativ ist die Belohnung für gefundene Lücken in der Preview des Internet Explorer 11, hierfür zahlt Microsoft noch bis zu 11.000 Dollar. Das Programm für Lücken im Internet Explorer 11 ist auf 30 Tage (bis zum 26. Juli) beschränkt.
Microsoft Security Bounty Programm (Quelle: Screenshot Microsoft)
Sinn dieser Aktion soll es sein, möglichst viele Lücken bereits im Vorfeld der eigentlichen Endversionen zu schließen und solche "Bug Bounty Programme" sind auch nichts neues, auch andere Unternehmen wie beispielsweise Google veranstalten diese von Zeit zu Zeit. Allerdings sind die Preise bei diesem Programm durchaus bemerkenswert und könnten dadurch ein recht großes Echo hervor rufen.

Das Microsoft Security Response Center hat für dieses Programm eine eigene Seite online gestellt mit weiteren Details und Bedingungen für die Teilnahme.

xafford meint:

Microsoft Produkte sind in der Öffentlichkeit immer noch nicht dafür bekannt sicher zu sein. Allerdings ist diese Meinung heute nur noch zum Teil zutreffend, denn seit bereits über 10 Jahren investiert Microsoft viel Zeit und Geld in die Sicherheit ihrer Software. Diese Investitionen haben sich mit den Jahren auch durchaus ausgezahlt, die Sicherheit von Windows 7 und Windows 8 ist als durchaus sehr gut zu bezeichnen und auch auf der Server-Seite hat Microsoft sehr viel verbessert und die Zeiten, wo es als fahrlässig galt, einen Microsoft Server an das Internet anzubinden sind weitgehend vorbei.

Sorgenkinder wie der Internet Explorer sind auch auf dem Weg zur Besserung und kein Vergleich mehr zum Trojaner-Sammler Internet Explorer 6. Trotz allem wird es nie und niemandem gelingen eine Software auf den Markt zu bringen, die von sich behaupten kann, keine Lücken zu besitzen (Hello-World einmal außen vor gelassen, und selbst da wäre ich mir nicht sicher). Im Zuge solcher Sicherheitsbestrebungen sind Programme wie diese sehr zu begrüßen, denn Lücken werden früher oder später gefunden und im schlimmsten Fall meistbietend auf entsprechenden Plattformen verkauft. Da ist es besser, der Hersteller kauft diese und nutzt die Informationen zum Abdichten seiner Software - bei diesen Preisen wird auch der ein oder andere "Böse Junge" durchaus überlegen die gefundenen Lücken lieber an Microsoft zu verkaufen, als an Kriminelle und/oder Geheimdienste.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen