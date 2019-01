Software::Video

VLC startet Bounty-Programm

Das VLC-Projekt hat seine Bemühungen für das Auffinden von Sicherheitslücken weiter verstärkt und kündigt ein Bounty-Programm an, das Sicherheitsforscher für das Auffinden von Fehlern finanziell entlohnt. Das Projekt ist eine Zusammenarbeit zwischen den Entwicklern und der Europäischen Kommission.

Simon Long Video mit VLC in Raspbian 2018-11-13

Bereits 2017 kündigte die Europäische Kommission an , im Rahmen des »Free and Open Source Software Audits« (EU-Fossa) ein Bug-Bounty-Programm initiieren zu wollen, das die Sicherheit des freien Medienplayers VLC erhöhen soll. VLC wäre damit die erste direkt durch die Europäische Kommission mittels einer »Fehlerjagd« geförderte Anwendung. Denn Idee eines solches Programms gib es allerdings schon länger. So hatte die Kommission bereits Anfang Juli 2017 Jahres angekündigt, Plattformen zu suchen, die ein solches Programm organisieren können.

Wie das Projekt nun bekannt gab, startete diese Woche die Suche nach den Fehlern. Diese wird insgesamt acht Wochen lang andauern und soll alle Probleme in der Hauptanwendung und der libVLC auf allen Plattformen umfassen. Das Hauptziel sei dabei, sicherheitskritische Fehler in der Anwendung und kein Fehlverhalten der Funktionalität zu detektieren. Dabei sollen sie weder mittels einer statischen oder dynamischen Analyse noch mittels Fuzzing erkannt werden. Dabei soll das hauptsächliche Ziel sein, Fehler zu finden, die sich mit statischer oder dynamischer Analyse oder Fuzzing nicht finden lassen.

Ausgeschlossen von der Suche sind Fehler auf der Seite des Projekts, in den Foren, die Serverinfrastruktur oder dem Crash-Reporter. Fehler in Modulen sind zugelassen, müssen aber zuvor festgelegte Kriterien erfüllen, weshalb alle Interessenten die Einführung lesen sollten. Zudem muss zu jedem Fahler ein plausibles Szenario für eine Ausnutzung der Lücke geliefert werden.

Insgesamt stehen Entwicklern acht Wochen Zeit zur Verfügung. Je nach Schwere des Fehlers liegen die Belohnungen zwischen 250 Euro und 5000 Euro. Zusätzlich kann die Prämie erhöht werden, wenn zugleich eine Korrektur geliefert wird.