/Microsoft startet Bug Bounty für Windows 10

Microsoft startet Bug Bounty für Windows 10

Microsoft startet Bug Bounty für Windows 10


Jan Mahn

Microsoft habe für das Londoner Startup SwiftKey rund 250 Millionen Dollar bezahlt, schrieb die «Financial Times».

(Bild: dpa, Sven Hoppe)

Microsoft ruft im Rahmen einer Bug-Bounty zur Suche nach Sicherheitslücken in der Insider Preview von Windows 10 auf. Für die Dokumentation neuer Schwachstellen verspricht der Hersteller bis zu 15.000 Dollar.

Microsoft erweitert seine Programme für die Vergütung von gemeldeten neuen Sicherheitslücken auf Windows 10. Sicherheitsforscher, die eine bislang unentdeckte Lücke in einer Windows-Version aus dem sogenannten Slow Ring der Insider Preview entdecken, können mit bis zu 15.000 US-Dollar rechnen.

Die genaue Auszahlung hängt von der Art der gefundenen Schwachstelle ab – für eine neue Denial-of-Service-Attacke werden maximal 5.000 Dollar versprochen, eine Rechteausweitung ist dem Konzern 10.000 Dollar wert. Der Höchstbetrag ist Remote-Code-Execution vorbehalten.

Nur mit detaillierter Anleitung

Voraussetzung für eine Bezahlung ist, dass die Schwachstelle zum Zeitpunkt der Einreichung in der aktuellen Insider Preview vorhanden ist und noch nicht veröffentlicht wurde. Erwartet wird eine ausführliche Dokumentation des Vorgehens mit nachvollziehbaren Schritten. Wird eine Lücke mehrfach gemeldet, geht die Prämie an den ersten Einreichenden.

Das neue Programm deckt damit Sicherheitslücken ab, für die es noch keine anderen Bug Bounty-Programme gibt. Bereits seit 2013 können für Konzepte zur Umgehung des Windows Defenders bis zu 30.000 Dollar ausgeschüttet werden. Seit Ende Mai ist die Jagd auf Fehler in Hyper-V eröffnet. Hier geht es vor allem um Schwachstellen, die ein Ausbrechen aus virtuellen Maschinen erlauben und das Host-System beeinflussen. Bis zu 250.000 Dollar verspricht Microsoft für erfolgreiche Angriffsszenarien.

Auch für die Entwicklungsplattformen .NET Core und ASP.NET Core können Fehler mit der Aussicht auf Vergütung gemeldet werden.


(jam)