Microsoft bietet bis zu 40.000 US-Dollar für die Meldung von .NET-Sicherheitslücken

Microsoft bietet bis zu 40.000 US-Dollar für die Meldung von .NET-Sicherheitslücken
Bildnachweis: Microsoft

Übersicht über Bug-Bounty-Programme

Bug-Bounty-Programme sind wichtige Initiativen vieler Unternehmen zur Verbesserung ihrer Softwaresicherheit. Sie motivieren Einzelpersonen, Sicherheitslücken zu identifizieren und vertraulich an die jeweiligen Anbieter zu melden. So können diese rechtzeitig behoben werden, bevor sie von böswilligen Akteuren ausgenutzt werden können. Teilnehmer dieser Programme, darunter auch Sicherheitsforscher, werden für ihre Beiträge finanziell belohnt und fördern so proaktive Maßnahmen im Bereich der Cybersicherheit.

Neue Verbesserungen am. NET-Bounty-Programm von Microsoft

Microsoft hat sein. NET-Bounty-Programm kürzlich deutlich aktualisiert und damit die Anforderungen an die Meldung von Sicherheitslücken erhöht. Die Belohnungsstruktur beginnt nun bei beeindruckenden 7.000 US-Dollar und steigt für außergewöhnliche Meldungen auf beachtliche 40.000 US-Dollar. Die höchste Belohnung erhalten diejenigen, die kritische Sicherheitslücken – insbesondere Remote Code Execution (RCE) oder Elevation of Privilege (EoP) – privat melden und dabei eine umfassende Dokumentation bereitstellen.

Detaillierte Belohnungsstruktur

Die folgende Tabelle zeigt die verschiedenen Belohnungsstufen basierend auf der Sicherheitsauswirkung und der Qualität des eingereichten Berichts:

Auswirkungen auf die Sicherheit Berichtsqualität Kritisch Wichtig
Remotecodeausführung Vollständig 40.000 US-Dollar 30.000 US-Dollar
Nicht abgeschlossen 20.000 US-Dollar 20.000 US-Dollar
Rechteerweiterung Vollständig 40.000 US-Dollar 10.000 US-Dollar
Nicht abgeschlossen 20.000 US-Dollar 4.000 US-Dollar
Umgehung von Sicherheitsfunktionen Vollständig 30.000 US-Dollar 10.000 US-Dollar
Nicht abgeschlossen 20.000 US-Dollar 4.000 US-Dollar
Remote-Denial-of-Service Vollständig 20.000 US-Dollar 10.000 US-Dollar
Nicht abgeschlossen 15.000 US-Dollar 4.000 US-Dollar
Spoofing oder Manipulation Vollständig 10.000 US-Dollar 5.000 US-Dollar
Nicht abgeschlossen 7.000 US-Dollar 3.000 US-Dollar
Offenlegung von Informationen Vollständig 10.000 US-Dollar 5.000 US-Dollar
Nicht abgeschlossen 7.000 US-Dollar 3.000 US-Dollar
Unsichere Dokumentation Vollständig 10.000 US-Dollar 5.000 US-Dollar
Nicht abgeschlossen 7.000 US-Dollar 3.000 US-Dollar

Umfang des. NET-Bounty-Programms

Das Programm konzentriert sich hauptsächlich auf Sicherheitslücken im. NET Framework und ASP. NET Core, einschließlich Technologien wie Blazor und Aspire. Aktuelle Updates haben den Umfang erweitert und umfassen nun alle unterstützten Versionen von. NET, ASP. NET, ASP. NET Core, die auf dem. NET Framework laufen, zugehörige Vorlagen, GitHub Actions in relevanten Repositories sowie angrenzende Technologien wie F#.

Abschluss

Das überarbeitete Belohnungssystem soll die Bedeutung schwerwiegender Sicherheitslücken durch entsprechende finanzielle Belohnungen unterstreichen. Es klärt außerdem, was einen „vollständigen“ Bericht ausmacht, sorgt für Transparenz und fördert umfassendere Meldungen. Weitere Informationen zu diesem spannenden Update finden Sie im entsprechenden Blogbeitrag von Microsoft.

Quelle & Bilder

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert