Login
Newsletter
Werbung

Mi, 10. Juni 2015, 09:27

Software::Security

Mozilla erweitert Prämienzahlungen für entdeckte Sicherheitslücken

Die Mozilla Foundation hat ihre Initiative für das Auffinden von Sicherheitslücken weiter verstärkt. Die maximale Höhe der Prämien wurde aufgehoben und auch für weniger schwere Lücken können nun bis zu 2.000 US-Dollar gezahlt werden.

Mozilla

Schon seit 2004 zahlte die Mozilla Foundation eine Prämie für jeden Hinweis auf sicherheitskritische Fehler. Dieses »Bug Bounty Program« soll die Untersuchung der Sicherheit der Mozilla-Software fördern und die Software letztlich sicherer machen. Die anfängliche Finanzierung des Programms kam von Linspire (später von Xandros übernommen und kurz darauf eingestellt) und Mark Shuttleworth, dem Gründer von Ubuntu.

Anfänglich belief sich die Prämie auf 500 US-Dollar pro Fehler. 2010 wurde sie auf 3.000 US-Dollar und ein T-Shirt erhöht. Hintergrund war wohl, dass Informationen über Sicherheitslücken oftmals unter Internet-Kriminellen gehandelt werden, statt sie bekannt zu geben.

Nach nunmehr fünf Jahren hat die Mozilla Foundation eine weitere Verstärkung des Firefox Bug Bounty-Programms angekündigt. Laut der Mitteilung war es an der Zeit, die seit fünf Jahren unveränderten Prämien anzupassen. Im Rahmen des Programms wurden bisher 1,6 Mio. US-Dollar ausgeschüttet und Mozilla sieht es als großen Erfolg an. Die große Gemeinschaft der Sicherheitsexperten, die in Firefox und anderen Produkten nach Lücken suchen, haben dadurch viel für die Sicherheit der Mozilla-Produkte getan.

Bis jetzt zahlte Mozilla lediglich für Sicherheitslücken, die von einem internen Komitee als hochriskant oder kritisch eingestuft wurden. In diesem Fall wurde jeweils ein fester Betrag von 3.000 US-Dollar gezahlt. Wurde eine gemeldete Lücke als moderat riskant eingestuft oder von »hochriskant« heruntergesetzt, ging der Entdecker leer aus. Ab sofort wird für wichtige Lücken ein Betrag von 3.000, 5.000 oder 7.500 Dollar gezahlt, in Abhängigkeit von der Schwere der Lücke und der Qualität der Meldung. Darüber hinaus können für neuartige oder besonders kritische Lücken auch 10.000 Dollar oder noch mehr gezahlt werden.

Auch die Forscher, die auf Lücken mit geringerem Risiko hinweisen, werden jetzt belohnt und können mit 500 bis 2.000 US-Dollar rechnen. Allerdings behält sich das Mozilla-Komitee vor, den Betrag variabel festzulegen, und nicht alle Lücken dieser Kategorie sollen bezahlt werden. Alle, die Sicherheitslücken melden, werden jedoch in der Bug Bounty Hall of Fame verewigt. Die momentan noch einfache Seite soll demnächst gründlich überarbeitet werden.

Mit der Erhöhung zieht Mozilla mit dem entsprechenden Programm bei Google Chrome annähernd gleich. Die Bedingungen für die Vergabe der Prämie sind weitgehend gleich geblieben. Die Prämie steht jedem Entwickler zu, der einen Fehler aufdeckt, allerdings sind Angestellte von Mozilla sowie die Personen, die an der betroffenen Stelle gearbeitet haben, ausgeschlossen.

Der Fehler muss außerdem in der neuesten Version von Firefox, Thunderbird oder Firefox für Android oder Firefox OS reproduzierbar sein. Ältere Versionen sowie andere Mozilla-Produkte sind ausgeschlossen. Auch Software von dritter Seite wie Plugins und Erweiterungen fällt nicht unter das Bug Bounty Programm, in manchen Fällen will Mozilla aber eine Ausnahme machen.

Werbung
Kommentare (Insgesamt: 0 )
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung