Meltdown und Spectre: Microsoft setzt hohes Kopfgeld für Lücken an

Die beiden Anfang des Jahres bekannt gewordenen Sicherheitslücken Spectre und Meltdown sind zwar inzwischen weitgehend geschlossen worden, jedenfalls haben die Beteiligten alles unternommen, um die Bedrohung aus der Welt zu schaffen. Sollte es jemandem gelingen, sie dennoch ausnutzen zu können, der kann sich ein fettes "Kopfgeld" verdienen.

Dunkle oder helle Seite der Macht?

In der Technikwelt gibt es - vereinfacht gesagt - einen Wettstreit zwischen den Guten und den Bösen. Denn man kann einerseits Lücken aufspüren, um sie den betroffenen Unternehmen zu melden, andererseits diese an jene verkaufen, die sie für schädliche Zwecke einsetzen. Dabei ist es oftmals schlichtweg eine Frage des Geldes, wer den Zuschlag erhält.

Die IT-Konzerne müssen entsprechend auch einiges an Geld bieten, damit Unentschlossene nicht auf der dunklen Seite der Macht landen. Im Fall des nun für Meltdown- und Spectre-Lücken angesetzten Kopfgeldes kann man von Microsoft bis zu einer Viertelmillion Dollar verdienen, wenn man ein entsprechend schwerwiegendes Angriffsszenario findet und damit hilft, es aus der Welt zu schaffen.

Das Kopfgeld-Programm ist zeitlich begrenzt und zwar bis Ende des Jahres. Es hat vier Stufen, die sich durch die Art und die Auswirkung des Angriffs unterscheiden. Der einfachste betrifft eine bekannte spekulative ausführbare Schwachstelle in Windows 10 oder Microsoft Edge, diese werden mit 25.000 Dollar belohnt.

Wer es schafft, eine an sich bereits geschlossene Schwachstelle in Windows oder Azure zu umgehen, der bekommt dafür 200.000 Dollar. Am meisten wert sind neue Kategorien von spekulativen ausführbaren Attacken, hier wird man für das Melden mit einem Kopfgeld von 250.000 Dollar belohnt.

Siehe auch: