Microsoft: Bis zu 200.000 USD für Lücken in Spectre-Gegenmaßnahmen

Jan-Frederik Timm 7 Kommentare
Microsoft: Bis zu 200.000 USD für Lücken in Spectre-Gegenmaßnahmen
Bild: Michael Pollak | CC BY 2.0

Microsoft folgt Intel: Nach dem CPU-Hersteller hat auch der Software-Konzern ein so genanntes „Bug Bounty“-Programm ausgelobt, das hohe Prämien auf die Entdeckung weiterhin bestehender Lücken in den Gegenmaßnahmen gegen Spectre Variante 1 und 2 sowie Meltdown, oder auf vollkommen neue Sicherheitslücken derselben Art ausruft.

Bis zu 250.000 US-Dollar für „Spectre Variante 3“

Das potentiell höchste Kopfgeld hat Microsoft mit 250.000 US-Dollar auf die Übermittlung einer bisher vollständig unbekannten Sicherheitslücke ausgelobt, die wie Spectre und Meltdown auf der spekulativen Ausführung von Code (Speculative Execution) fußt. Aber nicht nur nach neuen Lücken wird gesucht.

Bis zu 200.000 US-Dollar gibt es für den Nachweis, dass Microsofts Cloud-Plattform Azure trotz aktiver Gegenmaßnahmen weiterhin anfällig für eine Attacke über Spectre Variante 2 oder Meltdown ist. In diesem Fall muss die ausgenutzte Lücke also nicht neu sein, es reicht, wenn es dem Angreifer gelingt, trotz vermeintlich erfolgter Absicherung noch über Meltdown oder Spectre auf für seine virtuelle Maschine eigentlich nicht sichtbaren Speicher zuzugreifen. Ob der Angriff über Windows oder Linux erfolgt, ist nicht von Relevanz. Dasselbe Preisgeld gibt es auch für einen Erfolg unter Windows 10 mit aktiven Gegenmaßnahmen gegen Spectre Variante 2 und Meltdown.

Geringer fällt wiederum das Kopfgeld aus, wenn es Angreifern gelingt, trotz aktiven Updates die Sicherheitslücke Spectre Variante 1 über Code von Windows 10 oder den Browser Edge weiter auszunutzen. Gegenmaßnahmen gegen diese Attacke müssen im Betriebssystem und relevanten Anwendungen geschlossen werden. Maximal 25.000 US-Dollar sind ausgeschrieben.

Das ausgelobte Kopfgeld im Detail
Das ausgelobte Kopfgeld im Detail (Bild: Microsoft)

Wie bei Intel werden die hohen Prämien vorerst nur bis Ende 2018 garantiert. Die Teilnahmebedingungen hat Microsoft online bereitgestellt; darunter auch der Hinweis, dass Einbruchsversuche immer nur in eigenen virtuellen Maschinen in Azure vorgenommen werden sollten.