Windows 8.1: Microsoft zahlt erstmals 100.000 Dollar für Sicherheitslücke

James Forshaw von Context Information Security bekommt von Microsoft 100.000 US-Dollar. Das ist die höchste Summe, die das Unternehmen im Rahmen seines weiter andauernden Wettbewerbs zur Suche nach Sicherheitslücken im neuen Windows 8.1 ausschreibt. Je nach Schwere einer Lücke sind die Prämien unterschiedlich hoch. So hatte Forshaw schon für Fehlerberichte zum Internet Explorer einen geringeren Betrag erhalten.

Den Höchstpreis zahlt Microsoft nur für neuartige Angriffsvektoren, also Methoden, die so noch nicht vorher bekannt waren. Worin der Angriff von Forshaw besteht, will das Unternehmen erst bekanntgeben, wenn die Lücke geschlossen ist. Das Programm läuft weiter, eine ausführliche Beschreibung der Teilnahmebedingungen gibt es bei Microsoft.

Bonus, wenn der Patch mitgeliefert wird

Dort ist unter anderem aufgeführt, dass der Fehler nicht nur beschrieben, sondern auch mit einem Exploit als Beispielcode belegt sein muss. Zudem gibt es einen Bonus von 50.000 US-Dollar, wenn der Entdecker gleich einen praktikablen Abwehrmechanismus mitliefert - also die Lücke selber schließt.

Das Angebot gilt weltweit, jede geschäftsfähige Person über 14 Jahren - oder deren gesetzliche Vertreter - kann teilnehmen. Ausgeschlossen sind natürlich Mitarbeiter von Microsoft und seinen Partnern. Letzteres ist in den Teilnahmebedingungen nicht genau definiert, es heißt nur, Angestellte, deren Unternehmen "mit Microsoft arbeitet", könnten nicht teilnehmen. Ob das beispielsweise auch PC-Hersteller betrifft, die Software von Microsoft beziehen, ist damit nicht klar gesagt. Im Zweifel sollte man wohl vorher bei Microsoft nachfragen.