Preisgeld für IE7- und Vista-Lecks
Die Forscher des Sicherheitsanbieters iDefense loben auch dieses Quartal wieder einen Löcher-Wettbewerb aus. Es gewinnt, wer Lecks in Microsofts Browser und neuem Betriebssystem entdeckt.
Beide Technologien seien auf dem Weg, ihre Märkte zu dominieren und da wundere es nicht, dass auch Hacker sich für den Internet Explorer 7 (IE7) und Vista interessierten. Damit die Schäden so gering wie möglich bleiben, arbeiten Sicherheitshersteller fieberhaft daran, die Schwachstellen zu entdecken und Lücken zu schließen.
Dabei holen sie sich auch die Hilfe von Hobby- oder semi-professionellen Spurensuchern und locken sie mit Preisgeldern für jedes gefundene Loch. iDefense vergibt dieses Mal 8000 Dollar für die ersten sechs Entdecker einer Schwachstelle, die es einem Angreifer erlaubt, das Leck auszunutzen und remote willkürlichen Code auszuführen. Ein eigens eingerichtetes Team bei Verisign überwacht die Vergabe.
Vorausetzungen sind neben einem Loch in den genannten Technologien und einem ausführbaren Code außerdem, dass die Schwachstelle in der aktuellsten Version vorkommen muss, Betas oder Release Candidates sind ausgeschlossen. Die Lücke darf außerdem von keinem anderen Forscher bereits entdeckt und veröffentlicht worden sein.
Zusätzlich zu den 8000 Dollar werden weitere 2000 bis 4000 Dollar ausgeschüttet, wenn der Teilnehmer außerdem einen Exploit schreibt, der die Schwachstelle ausnutzt. Die Summe staffelt sich nach Zuverlässigkeit des Exploits, Qualität und Dokumentation.
Microsoft hält den quartalsmäßigen Wettbewerb für wenig sinnvoll. So erklärte das Unternehmen vor rund einem Jahr, als iDefense 10.000 Dollar für Windows-Lücken ausschrieb, man glaube nicht “dass dies der beste Weg ist, den Kunden zu schützen, eine Vergütung für Informationen über Verwundbarkeiten anzubieten”. Microsoft hält eine Veröffentlichung dann für verantwortungsvoll, wenn sichergestellt sei, dass vom Hersteller ein entsprechendes Update vorliege und die Verwundbarkeit allgemein bekannt sei.