Microsoft kennt den Ruf des hauseigenen Browsers in der Webdesigner und -entwickler Szene und muß schlechte PR bei der Markteinführung des Internet Explorer Nachfolgers, Spartan, der standardmäßig unter Windows 10 zum Einsatz kommen wird, dringend vermeiden.
Um noch vor dem großen Release sicherheitsrelevante Fehler zu entdecken, startet Microsoft ein Bug Bounty Programm und setzt damit ein Kopfgeld auf Fehler und Exploits im Spartan Webbrowser aus. Der Contest findet von 22. April bis 22. Juni 2015 statt. Ähnliche Programme wurden auch bereits für die Suche nach Bugs im Internet Explorer gestartet.
Je nach Art des entdeckten Fehlers bietet Microsoft ein Preisgeld zwischen 500 und 15.000 Dollar mit "Bereitschaft zur Überbezahlung", wenn es sich bei der Einreichung um einen besonders komplexen Fehler handelt. Der Höchstbetrag kann nur erreicht werden, wenn ein funktionierender Exploit mitgeliefert wird.
Ob die Höhe des Preisgeldes angemessen ist, wird sich noch zeigen, kann schließlich ein Browser-Exploit auf dem Schwarzmarkt sogar das 20-fache einbringen. Fehler in Firefox oder Safari bringen zwischen 60.000 und 150.000 Dollar, Chrome oder Internet Explorer Vulnerabilities gehen für 80.000 bis 200.000 Dollar über den Tisch, und iOS Zero-Day Exploits schaffen es sogar auf bis zu 250.000 Dollar.
Eingereicht werden können Bugs der Kategorien Remote Code Execution, Sandbox Escape Vulnerability, ASLR Info Disclosure oder allgemeine Fehler mit großem Einfluss auf die Sicherheit von Spartan oder der EdgeHTML Bibliothek.
[img=left]https://www.picflash.org/img/2015/04/26/ngb_ms-spartan-bug-bounty-program-042015A3HYEX.png[/img]
Um am Wettbewerb Teilnehmen zu können, muß man mindestens 14 Jahre alt und kein Bürger von Kuba, Iran, Nordkorea, Sudan oder Syrien sein. Microsoft Mitarbeiter oder Firmen werden ebenso nicht zugelassen. Wer am Contest teilnimmt verplichtet sich zur Coordinated Vulnerability Disclosure und darf Exploit Code oder Beschreibungen nicht vor Abschluss des Wettbewerbs veröffentlichen.
Quellen:
Project Spartan Bug Bounty Program Terms
Shopping For Zero-Days: A Price List For Hackers' Secret Software Exploits
Um noch vor dem großen Release sicherheitsrelevante Fehler zu entdecken, startet Microsoft ein Bug Bounty Programm und setzt damit ein Kopfgeld auf Fehler und Exploits im Spartan Webbrowser aus. Der Contest findet von 22. April bis 22. Juni 2015 statt. Ähnliche Programme wurden auch bereits für die Suche nach Bugs im Internet Explorer gestartet.
Je nach Art des entdeckten Fehlers bietet Microsoft ein Preisgeld zwischen 500 und 15.000 Dollar mit "Bereitschaft zur Überbezahlung", wenn es sich bei der Einreichung um einen besonders komplexen Fehler handelt. Der Höchstbetrag kann nur erreicht werden, wenn ein funktionierender Exploit mitgeliefert wird.
Ob die Höhe des Preisgeldes angemessen ist, wird sich noch zeigen, kann schließlich ein Browser-Exploit auf dem Schwarzmarkt sogar das 20-fache einbringen. Fehler in Firefox oder Safari bringen zwischen 60.000 und 150.000 Dollar, Chrome oder Internet Explorer Vulnerabilities gehen für 80.000 bis 200.000 Dollar über den Tisch, und iOS Zero-Day Exploits schaffen es sogar auf bis zu 250.000 Dollar.
Eingereicht werden können Bugs der Kategorien Remote Code Execution, Sandbox Escape Vulnerability, ASLR Info Disclosure oder allgemeine Fehler mit großem Einfluss auf die Sicherheit von Spartan oder der EdgeHTML Bibliothek.
[img=left]https://www.picflash.org/img/2015/04/26/ngb_ms-spartan-bug-bounty-program-042015A3HYEX.png[/img]
Um am Wettbewerb Teilnehmen zu können, muß man mindestens 14 Jahre alt und kein Bürger von Kuba, Iran, Nordkorea, Sudan oder Syrien sein. Microsoft Mitarbeiter oder Firmen werden ebenso nicht zugelassen. Wer am Contest teilnimmt verplichtet sich zur Coordinated Vulnerability Disclosure und darf Exploit Code oder Beschreibungen nicht vor Abschluss des Wettbewerbs veröffentlichen.
Quellen:
Project Spartan Bug Bounty Program Terms
Shopping For Zero-Days: A Price List For Hackers' Secret Software Exploits
Zuletzt bearbeitet: