Microsoft: 100.000 Dollar für neu entdeckte Sicherheitslücke

BetriebssystemSicherheitWorkspace
Microsoft Logo (Bild: Microsoft)

Die Prämie geht an James Forshaw, der eine neue Methode zur Umgehung von Sicherheitsmaßnahmen in Windows beschreibt. Seine Erkenntnisse will Microsoft nutzen, um die eigenen Produkte zu verbessern. Auch Software von Drittanbietern soll davon profitieren.

microsoft-logo100.000 Dollar hat Microsoft einem Sicherheitsforscher bezahlt, der eine neue Methode entdeckt hat, die Sicherheitsmaßnahmen in Windows zu umgehen. Es ist James Forshaw von Context Information Security. Dem Unternehmen zufolge hat er bereits in der Preview von Internet Explorer Fehler entdeckt.

Da die zugrunde liegenden Fehler noch nicht beseitigt wurden, machte Microsoft keine Angaben zu Details der neuen Angriffsmethode auf sein Betriebssystem. “Wir werden unsere Kunden durch die Schaffung neuer Verteidigungsmaßnahmen für künftige Versionen unserer Produkte besser schützen können, weil wir von dieser Technik und ihren Varianten erfahren haben”, schreibt Katie Moussouris, Senior Security Strategist bei Microsoft, in einem Blogeintrag.

Forshaw erhalte einen so hohen Betrag, da Microsoft jetzt einen Schutz gegen eine vollständige Klasse von Angriffen entwickeln könne, fügte es hinzu. Es sei durch eine Verbesserung der Sicherheitsmaßnahmen der gesamten Plattform schwieriger, Schwachstellen in Windows-Anwendungen auszunutzen. Das gelte nicht nur für Software von Microsoft.

An sechs Hacker, die im Rahmen eines einmonatigen Belohnungsprogramms Lücken in der Preview-Version von Internet Explorer 11 entdeckt haben, hatte Microsoft vor kurzem mehr als 28.000 Dollar ausgezahlt. In der kommenden Browserversion fanden sie insgesamt 15 Schwachstellen.

Peter Vreugdenhil von Exodus Intelligence, das aus HPs Zero Day Initiative hervorgegangen ist, erhielt 10.000 Dollar. Für gleich vier gefundene Sicherheitslücken gingen 4400 Dollar an Forshaw. Für das Aufdecken weiterer Schwachstellen im IE-Design erhielt er außerdem einen Bonus von 5000 Dollar.

Für das Melden von Sicherheitslücken in ihren Produkten zahlen viele IT-Firmen Prämien. Neben Facebook und Google zählt dazu auch Yahoo. Die ausgelobte Belohnung erhöhte Letzteres in der vergangenen Woche auf bis zu 15.000 Dollar. Anfänglich hatte es nur Gutscheine für T-Shirts und andere Werbeartikel ausgehändigt. Dafür wurde es scharf kritisiert.

[mit Material von Stefan Beiersmann, ZDNet.de]