MS belohnt Sicherheitsexperten mit 100.000 Dollar

Microsoft hat am 10. Jahrestag seines allmonatlichen Patch-Days erstmals die höchstmögliche Belohnung an einen Sicherheitsexperten vergeben, die man im Rahmen eines Programms zur Suche nach Schwachstellen ausgeschrieben hat. Der Sicherheitsexperte James Forshaw erhält nach Angaben von Microsoft 100.000 Dollar, weil er dem Unternehmen im Rahmen des Mitigation Bypass Bounty Programms eine neue Angriffstechnik aufzeigte, mit der ein bestimmtes Produkt attackiert werden kann. Offenbar handelt es sich bei dem anfälligen Produkt um den Internet Explorer 11.

Forshaw hatte wie fünf andere Sicherheitsexperten neue Schwachstellen in der Preview-Version des IE11 ausfindig gemacht, wofür ihm zusätzlich weitere 9400 Dollar zustehen. Er erhält die 100.000-Dollar-Prämie, weil er gleich mehrere Varianten eines Exploits sehr ausführlich beschrieb.

Konkrete Details zu der Schwachstelle nannte Microsoft aus Sicherheitsgründen nicht. Zunächst muss die Lücke geschlossen werden, um eine Ausnutzung durch Angreifer zu verhindern. Dank der von Forshaw gelieferten Informationen, könne man nun aber die Abwehrmaßnahmen für die gesamte Plattform verbessern und die Sicherheit für alle Kunden erhöhen, weil sie gleich eine ganze Klasse von Problemen abdecken.

Nach Angaben von Microsoft hatte ein firmeneigener Sicherheitsspezialist eine Variante der gleichen Angriffstechnik ausfindig gemacht, der externe Experte lieferte jedoch die entscheidenden, ausführlichen Informationen. Einen direkten Zusammenhang zwischen der Vergabe der hohen Belohnung und dem 10. Jahrestag des Patch-Days soll es nicht geben.

In seinem Blog-Eintrag erklärte Microsoft, dass man für die Hinweise auf Angriffstaktiken mehr zahle als für Angaben zu bestimmten Schwachstellen allein, weil man mit den Informationen gleich mehrere Lücken ausräumen kann. Die Redmonder hatten das neue Belohnungsprogramm für Sicherheitsexperten erst im Juli ins Leben gerufen und haben nun bereits insgesamt 128.000 Dollar ausgeschüttet.