Mozilla-erhoeht-Kopfgeld-auf-Sicherheitsluecken1.jpg

Bug-Prämie

Mozilla erhöht Kopfgeld auf Sicherheitslücken

20.07.2010

Mozilla hat die Prämien pro gefundener kritischer Sicherheitslücke in seinen Produkten wie Firefox und Thunderbird auf 3000 US-Dollar erhöht.

Das seit sechs Jahren eingeführte "Security Bounty Program soll den wachsenden Herausforderungen an die Sicherheit von Software Rechnung tragen. Mozilla wolle konstruktive Sicherheitsforschung damit besser unterstützen. Bislang gab es 500 US-Dollar pro Fehler. Die Prämienerhöhung gilt laut Mozilla rückwirkend zum 1. Juli 2010.

Neben den Programmen Firefox und Thunderbird nennt Mozilla ausdrücklich auch Firefox Mobile und die Mozilla Services als Pfründe, die für eine Prämie gut sind. Bislang sei eine Entlohnung für kooperative Entdecker von Lücken für die beiden letztgenannten Produkte meist auf diskretem Weg erfolgt, nun soll klar sein, dass es auch dafür Geld gibt. Mozilla behält sich eine Prüfung auf Prämienfähigkeit vor. Der gefundene Fehler muss tatsächlich sicherheitsrelevant sein, zudem darf der Entdecker nicht fahrlässig gegen die Sicherheit der Nutzer verfahren. Am liebsten sieht es Mozilla, wenn die Fehler vertraulich gemeldet werden, macht aber auch klar, dass offengelegte Lücken nicht von der Prämienzahlung ausgeschlossen seien.

Fehler werden gemäß dem Bug-Programm auch in Betaversionen akzeptiert, Alpha-Testversionen sind davon ausgenommen. Der Hersteller hat eine FAQ für sein Security Bounty Program aufgesetzt.

( Ulrich Bantle)