Microsoft zahlt bis zu 15.000 Dollar für Fehler in Beta-Versionen
Die Insider-Programme Microsofts dienen eigentlich ohnehin dem Beta-Test von kommenden Produkten und dem Auffinden letzter Fehler in den Codes. Daher ist es durchaus etwas ungewöhnlich, dass das Unternehmen nun auch ein eigenes Bug Bounty-Programm für Vorab-Versionen seiner Software aufsetzt.
Im Konkreten geht es um die Insider-Builds der Office-Anwendungen für Windows-Desktops. Wer in der Testphase der Programme bestimmte Schwachstellen ausfindig macht, kann hier mit Belohnungen rechnen, die für einen Beta-Test ziemlich ungewöhnlich sind. Bis zu 15.000 Dollar lassen sich hier mit der Meldung eines Fehlers verdienen, der bis zum 15. Juni eingereicht wird.
Den Microsoft-Entwicklern geht es dabei allerdings nicht um gewöhnliche Bugs, wie sie in Beta-Versionen immer wieder zu finden sind, sondern um konkrete Arten von Sicherheitslücken. Das betrifft beispielsweise nicht vertrauenswürdige Dokumente, die in der Protected View geöffnet werden. Hier gilt es zu prüfen, ob diese einen Weg finden können, die eingeschränkten Rechte doch zu umgehen und vielleicht Makro-Code in Office einzuschleusen. Aber auch andere Sicherheits-Features, die übelgesonnene Makros stoppen sollen, müssten tiefergehend untersucht werden. Gleiches gilt für die Blockade bestimmter E-Mail-Anhänge in Outlook, was ebenfalls ein beliebter Angriffsvektor ist.
Hier versteht sich von selbst, dass Microsoft die Prämien natürlich nur für fehlerhafte Implementierungen in der eigenen Software zahlt. Keine Vergütung gibt es entsprechend für Probleme, die von Erweiterungen anderer Anbieter oder gar durch die Inhalte der Nutzer selbst hervorgerufen werden. Weiterhin zahlt Microsoft auch nicht für Sicherheits-Risiken, die nur dann auftreten, wenn die Nutzer zu sehr ungewöhnlichen Handlungen verleitet werden.
Für einfache Probleme, die in die Bereiche fallen, die das Bug Bounty-Programm abdeckt, kann es 500 Dollar geben - aber im Maximalfall eben auch 15.000 Dollar. Gibt es mehrere Hinweise auf das gleiche Problem, bekommt der Ersteinsender die Zahlung. Sollte man ein Problem melden, das intern schon bekannt ist und an dem die Entwickler bereits arbeiten, kann man aber trotzdem einen Trostpreis von bis zu 1.500 Dollar bekommen.
Im Konkreten geht es um die Insider-Builds der Office-Anwendungen für Windows-Desktops. Wer in der Testphase der Programme bestimmte Schwachstellen ausfindig macht, kann hier mit Belohnungen rechnen, die für einen Beta-Test ziemlich ungewöhnlich sind. Bis zu 15.000 Dollar lassen sich hier mit der Meldung eines Fehlers verdienen, der bis zum 15. Juni eingereicht wird.
Den Microsoft-Entwicklern geht es dabei allerdings nicht um gewöhnliche Bugs, wie sie in Beta-Versionen immer wieder zu finden sind, sondern um konkrete Arten von Sicherheitslücken. Das betrifft beispielsweise nicht vertrauenswürdige Dokumente, die in der Protected View geöffnet werden. Hier gilt es zu prüfen, ob diese einen Weg finden können, die eingeschränkten Rechte doch zu umgehen und vielleicht Makro-Code in Office einzuschleusen. Aber auch andere Sicherheits-Features, die übelgesonnene Makros stoppen sollen, müssten tiefergehend untersucht werden. Gleiches gilt für die Blockade bestimmter E-Mail-Anhänge in Outlook, was ebenfalls ein beliebter Angriffsvektor ist.
Hier versteht sich von selbst, dass Microsoft die Prämien natürlich nur für fehlerhafte Implementierungen in der eigenen Software zahlt. Keine Vergütung gibt es entsprechend für Probleme, die von Erweiterungen anderer Anbieter oder gar durch die Inhalte der Nutzer selbst hervorgerufen werden. Weiterhin zahlt Microsoft auch nicht für Sicherheits-Risiken, die nur dann auftreten, wenn die Nutzer zu sehr ungewöhnlichen Handlungen verleitet werden.
Für einfache Probleme, die in die Bereiche fallen, die das Bug Bounty-Programm abdeckt, kann es 500 Dollar geben - aber im Maximalfall eben auch 15.000 Dollar. Gibt es mehrere Hinweise auf das gleiche Problem, bekommt der Ersteinsender die Zahlung. Sollte man ein Problem melden, das intern schon bekannt ist und an dem die Entwickler bereits arbeiten, kann man aber trotzdem einen Trostpreis von bis zu 1.500 Dollar bekommen.
0 Response to "Microsoft zahlt bis zu 15.000 Dollar für Fehler in Beta-Versionen"
Kommentar veröffentlichen