Software::Browser
Mozilla erweitert Bug Bounty-Programm abermals
Mozilla hat die Initiative für das Auffinden von Sicherheitslücken in Mozilla-Software weiter verstärkt. Die Prämien werden zum Teil angehoben, fairer an die Tester verteilt und nach klarer formulierten Kriterien vergeben.
Mozilla
Schon seit 2004
zahlte die Mozilla Foundation eine Prämie für jeden Hinweis auf sicherheitskritische Fehler. Dieses »
Bug Bounty Program« soll die Untersuchung der Sicherheit der Mozilla-Software fördern und die Software letztlich sicherer machen. Die anfängliche Finanzierung des Programms kam von Linspire und Mark Shuttleworth. Anfänglich belief sich die Prämie auf 500 US-Dollar pro Fehler. 2010 wurde sie
auf 3.000 US-Dollar und ein T-Shirt erhöht. Hintergrund war wohl, dass Informationen über Sicherheitslücken oftmals unter Internet-Kriminellen gehandelt werden, statt sie bekannt zu geben. Im Dezember des gleichen Jahres wurde begonnen, auch für
Lücken in Webseiten, die von Mozilla betrieben werden, Prämien von 500 bis 3000 US-Dollar zu zahlen. 2017 erfolgte eine
Aufteilung in kritische, wichtige und weniger wichtige Webseiten. Bei Seiten, die in der Auflistung der kritischen Webseiten erscheinen, wurde die Prämie auf 5.000 USD erhöht. Mit dieser Maßnahme wurden Unklarheiten beseitigt, die zuvor zu Meinungsverschiedenheiten und Verstimmungen bei den Fehlerjägern gesorgt hatten. Ende 2019 wurden diese Prämien
nochmals verdoppelt, bei den kritischen Seiten gar auf 15.000 USD verdreifacht und die Liste der wichtigen und kritischen Seiten erweitert.
Wie Mozilla jetzt mitteilt, zeigt eine Analyse der bisher gezahlten Prämien im Software-Bereich, dass der Durchschnitt der Prämien bei 2775 US-Dollar lag. 4000 USD war der bei weitem meistgezahlte Betrag. Nun soll das Prämiensystem, das letztes Jahr noch um Prämien für statische Analysen erweitert wurde, nochmals ausgedehnt werden. Die erste Änderung ist, dass Prämien nicht nur für den Erstmelder eines Problems gezahlt werden, sondern auch für Funde, die binnen 72 Stunden nach der Erstmeldung eingehen. Da viele dieser Meldungen durch die Analyse der Nightly Builds mit Fuzzing-Werkzeugen entstehen, soll nicht nur der belohnt werden, der die schnellste Hardware dafür zur Verfügung hat oder einfach mehr Glück hatte. Für Berichte höherer Qualität soll es auch höhere Prämien geben.
Die Kriterien für die Zahlungen sollen ferner klarer formuliert werden. Die Prämien steigen zudem bei schwerwiegenden Problemen. Wenn ein Ausbruch aus der Sandbox möglich ist, sollen 8.000 USD gezahlt werden, bei der Umgehung eines Proxys 3.000 USD. Für Berichte von hoher Qualität sind es bis zu 2.000 USD mehr. Ein großer Teil der Berichte ist laut Mozilla schon jetzt von höherer Qualität und damit für die Auszahlung erhöhter Prämien qualifiziert.
Ferner will Mozilla von nun an auch mehr Anleitungen publizieren, wie man mit dem Testen von Firefox beginnen kann. Der erste Beitrag dieser Reihe ist bereits im Dezember erschienen und beschreibt die HTML-Bereinigung zur Verhinderung von Cross-Site-Scripting in der Bedienoberfläche.
){kind=logo}
