Prämie für Lücken in Vista und IE7

Weitere 4000 Dollar winken demjenigen, der funktionierenden Demo-Code mitliefert, der die über das Web ausnutzbaren Schwachstellen illustriert.

Mit der Aktion “Quarterly Vulnerability Challenge” bricht iDefense ein Tabu: Bislang war es zumindest in Kreisen von Sicherheitsdienstleistern unüblich, für derartige Informationen Geld zu verlangen, zu zahlen oder gar mit Prämien zu locken. Grundsätzlich werden Schwachstellen sofort und auch nur an den jeweiligen Hersteller gemeldet, in diesem Fall wäre das Microsoft. Öffentlich bekannt werden derartige Lücken erst, wenn bereits ein Patch zur Verfügung steht. Mit der Aktion macht iDefense derartige Kopfgelder jedoch salonfähig.

12000 Dollar klingt viel, ist aber vergleichsweise wenig: Im Dezember 2006 hat TrendMicro von Web-Auktionsplattformen berichtet, bei denen Kriminelle für die Lieferung gleichartiger Infos deutlich höher “bezahlt” werden. 50.000 Dollar beispielsweise werden für einen Zero-Day-Exploit für Windows Vista gezahlt (wir berichteten). (tkr)