Bug Bounty: Microsoft zahlt bis zu 30.000 Dollar für Sicherheitslücken im neuen Edge

Bug Bounty: Microsoft zahlt bis zu 30.000 Dollar für Sicherheitslücken im neuen Edge

Die neue Version von Microsoft Edge auf Chromium-Basis ist in dieser Woche offiziell in den Beta-Test gestartet. Der neue Edge ist zwar noch nicht fertig, laut Microsoft hat er aber bereits einen Reifegrad erreicht, der ihn für die tägliche Nutzung qualifiziert. Aus meiner eigenen Erfahrung mit den Developer-Versionen teile ich diese Einschätzung durchaus.

Gleichzeitig mit dem Beta-Test hat Microsoft auch das Bug Bounty Programm für den neuen Edge gestartet. Wer eine Sicherheitslücke findet, kann dafür eine Präme zwischen 1.000 und 30.000 Dollar einstreichen.

Mein erster Gedanke war: Prima, dann können jetzt die Google-Mitarbeiter ihre Leichen im Chromium-Code ausgraben und sich das von Microsoft noch bezahlen lassen. Aber so schlau ist man in Redmond natürlich auch. Prämiert werden nur Sicherheitslücken, die sich in der Beta oder der Developer Preview von Edge reproduzieren lassen, nicht aber im äquivalenten Entwicklungskanal von Google Chrome. Für Sicherheitslücken in Chrome/Chromium zahlt Google über das Chrome Vulnerability Reward Program bis zu 150.000 Dollar Prämie, Microsoft sieht sein eigenes Programm als Ergänzung dazu.

Microsoft zahlt nicht nur für Sicherheitslücken in Edge selbst, sondern auch für Lücken in Komponenten von Drittanbietern. Hier gilt allerdings die gleiche Regel: Die Lücke muss sich exklusiv in Edge nachweisen lassen.

Man mag sich fragen, inwieweit Microsoft überhaupt exklusive Lücken in Edge einbauen kann? Da gibt es in der Tat einige Dinge, wie zum Beispiel den Internet Explorer Mode, die Anmeldung mit einem Microsoft- oder Azure AD-Account, die Bibliothek PlayReady DRM oder den Windows Defender Application Guard (WDAG). Wer es schafft, aus dem WDAG-Container auszubrechen und das Host-System anzugreifen, erhält in jedem Fall die Höchstprämie.

Quelle: Microsoft

Über den Autor
Martin Geuß
  • Martin Geuß auf Facebook
  • Martin Geuß auf Twitter
Ich bin Martin Geuß, und wie unschwer zu erkennen ist, fühle ich mich in der Windows-Welt zu Hause. Seit mehr als elf Jahren lasse ich die Welt an dem teilhaben, was mir zu Windows und anderen Microsoft-Produkten durch den Kopf geht, und manchmal ist das sogar interessant. Das wichtigste Motto meiner Arbeit lautet: Von mir - für Euch!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.



Kommentare
  1. Kann ich eigentlich nun davon ausgehen das der Edge 2 (Chromium) nun komplett vom System entkoppelt ist? Damals wurde das mit Einführung des Edge 1 zwar versprochen, nun weiß man aber das dass wohl so nicht ganz korrekt war.
    Das Bug Bounty Programm ist im Artikel verlinkt, dort findest du weiterführende Links und auch die E-Mail Adresse.
    Da geht es aber rein nur um Sicherheitslücken, normale Bugs kannst du über den Feedback-Button oben rechts melden. Aber sei drauf gefasst, dass sich da tatsächlich jemand meldet :).
Nach oben