Original-URL des Artikels: https://www.golem.de/1007/76621.html    Veröffentlicht: 21.07.2010 12:06    Kurz-URL: https://glm.io/76621

Sicherheitsinitiative

Google erhöht Prämie für gefundene Sicherheitslücken

Für das Finden gefährlicher Sicherheitslücken in Chrome oder Chromium hat Google die Prämie erhöht. Künftig werden bis zu 3.133,70 US-Dollar für eine Lücke bezahlt. Auch Mozilla hatte diesen Monat die Prämie für gefundene Sicherheitslücken aufgestockt.

Ende Januar 2010 hatte Google das Programm Chromium Security Rewards ins Leben gerufen. Seitdem wird das Melden einer offenen Sicherheitslücke in Chrome oder Chromium mit 500 US-Dollar pro Fehler honoriert. Nur wenn eine Sicherheitslücke etwas Besonderes aufweist, gibt es 1.337 US-Dollar. Über die Vergabe der Prämie entscheidet eine Jury.

Das wird auch künftig so sein, auch die Basisprämie von 500 US-Dollar bleibt bestehen. Allerdings wird das Finden einer gefährlichen Sicherheitslücke deutlich besser belohnt. Dann dafür gibt es jetzt bis zu 3.133,70 US-Dollar. Wie es zu dieser krummen Summe kommt, erklärte Google nicht. Dieses Geld gibt es auch nur, wenn über ein Sicherheitsloch Schadcode ausgeführt werden kann. Aufgrund des Sandbox-Systems von Chrome ist es allerdings sehr viel unwahrscheinlicher geworden, einen solchen Fehler zu finden. Daher wurde die Prämie erhöht, heißt es von Google.

Entwickler können Sicherheitslücken in den Beta-, Dev-Channel- oder Final-Versionen melden, um vom Prämienmodell zu profitieren. Generell gibt es die Prämie nur, wenn das Sicherheitsloch vertraulich an Google gemeldet wird.

Mozilla macht einiges anders

Erst vor wenigen Tagen hatte Mozilla mitteilen lassen, dass rückwirkend zum 1. Juli 2010 die Prämie für das Melden einer gefährlichen Sicherheitslücke in Firefox, Thunderbird, Firefox Mobile und den Mozilla-Services aufgestockt wird. Zuvor hatte es im Rahmen des Mozilla Security Bug Bounty Program 500 US-Dollar pro Sicherheitsloch gegeben, mittlerweile werden 3.000 US-Dollar pro Meldung verteilt.

Während Google auch das Melden nicht so gefährlicher Sicherheitslücken honoriert, gibt es bei Mozilla nur Geld, wenn das Sicherheitsleck zum Ausführen von Schadcode missbraucht werden kann. Dafür gibt es die Prämie bei Mozilla für alle als gefährlich eingestuften Sicherheitslücken, die Prämienvergabe ist also nicht von einer Jury abhängig. Zudem zahlt Mozilla auch für Sicherheitslücken, die öffentlich gemacht wurden, bevorzugt allerdings auch die vertrauliche Meldung eines Sicherheitslecks.  (ip)


Verwandte Artikel:
Chrome: Google zahlt für gefundene Sicherheitslücken   
(29.01.2010, https://glm.io/72757 )
Sicherheitsinitiative: Mozilla erhöht Prämie für gefundene Sicherheitslücken   
(19.07.2010, https://glm.io/76559 )
Mozilla verteilt Belohnungen an Sicherheitslücken-Detektive   
(14.09.2004, https://glm.io/33551 )
Gegen Geldauflage: Staatsanwaltschaft stellt Ermittlungen gegen Eyeo ein   
(02.06.2017, https://glm.io/128187 )
Windows 10: Kritische Lücke in vorinstalliertem Passwortmanager   
(18.12.2017, https://glm.io/131725 )

© 1997–2020 Golem.de, https://www.golem.de/