Skip to main content

Teilnahmebedingungen für das Bug-Bounty-Programm für die Microsoft Edge-Plattform in Windows Insider Preview

BESCHREIBUNG DES PROGRAMMS

Wir veröffentlichen ein Bounty-Programm für Sicherheitsrisiken für Microsoft Edge, das mit Windows 10 Insider Preview (WIP) geliefert wird. Das Programm beginnt am 4. August 2016 und endet am 15. Mai 2017. Für die Dauer des Programms haben Personen weltweit die Gelegenheit zum Übermitteln von Sicherheitsrisiken, die in Microsoft Edge erkannt wurden, der im neuesten Slow Ring der Windows 10 Insider Preview erhalten ist. Die Updates für das Preview von Windows 10 Insider werden an Tester in verschiedenen Ringen geliefert. Für das Bounty-Programm bitten wir Sie, Fehler im Slow Ring von Windows Insider Preview zu übermitteln. Weitere Informationen finden Sie unter https://insider.windows.com/ und https://insider.windows.com/Home/GetStarted.

Qualifizierte Übermittlungen sind berechtigt, Prämien von mindestens $ 500 bis zu $ 15.000 zu erhalten. Die Prämien werden nach dem Ermessen von Microsoft basierend auf der Qualität und der Komplexität des Sicherheitsrisikos ausgezahlt. Microsoft kann mehr als $ 15.000 zahlen, je nach Qualität und Komplexität des Eintrags.

WORAUS BESTEHT EINE PRÄMIENBERECHTIGTE MELDUNG?

Übermittlungen von Sicherheitsrisiken an Microsoft müssen folgende Kriterien erfüllen, um prämienberechtigt zu sein:

  • Identifizierung eines ursprünglichen und zuvor noch nicht berichteten Sicherheitsrisikos im aktuellen Slow Ring von Microsoft Edge in WIP
  • Das Sicherheitsrisiko muss auf den neuesten Builds des Slow Rings von WIP reproduziert werden, damit es sich für eine Prämie qualifizieren kann.
    • Wenn eine Meldung zum Zeitpunkt der Einreichung nur auf einem früheren Slow-Build von WIP reproduziert werden kann, nicht jedoch auf dem aktuellen Slow Build, dann ist die Meldung nicht prämienberechtigt.
  • Schildern Sie präzise und nachvollziehbar die Schritte für die Reproduktion des Sicherheitsrisikos. (Dadurch wird ermöglicht, dass Übermittlungen so schnell wie möglich verarbeitet werden können, und es wird die höchste Zahlung für den Typ des Sicherheitsrisikos unterstützt, der gemeldet wird.)
  • Geben Sie auch die Buildnummer des Slow Rings von WIP an, auf der sich das Sicherheitsrisiko reproduzieren lässt.

Jede Meldung, die diese Kriterien nach dem Ermessen von Microsoft nicht erfüllt, kann abgelehnt werden.

WIE WERDEN ZAHLUNGSBETRÄGE FESTGELEGT?

  • Wenn wir mehrere Fehlerberichte zum gleichen Problem von unterschiedlichen Parteien erhalten, wird die erste Meldung prämiert, basierend auf den oben genannten Kriterien.
  • Wenn der zweite Bericht jedoch neue Informationen bietet, die Microsoft zuvor nicht bekannt waren, wird der zweiten Meldung eine Teilprämie zugesprochen.
  • Der erste externe Bericht über ein intern bekanntes Problem wird mit maximal $1.500 prämiert.

Die Prämienspanne für prämienberechtigte Meldungen basiert auf Folgendem:

SicherheitsrisikotypFunktionierender
Exploit
Proof of
concept (Nachweis der Machbarkeit)
Qualität des BerichtsAuszahlungsbereich (USD) *
Remotecodeausführung
in
Microsoft Edge in
aktuellen Slow-Builds von
WIP
ErforderlichErforderlichHochBis zu $ 15.000
NeinErforderlichHochBis zu $ 6.000
NeinErforderlichNiedrigBis zu $ 1.500
Verstöße gegen W3C-
Standards, die eine
Verletzung der Vertraulichkeit
oder Integrität wichtiger Benutzerdaten bewirken.

NeinErforderlichHochBis zu $ 6.000
 Erforderlich  

Dies umfasst u. a.:

  • Verletzung der Standardbetriebsverfahren,
    z. B. UXSS
  • Referrer-Spoofing
Nein NiedrigBis zu $ 1.500

Dies schließt nicht ein:

  • XSS, CSRF: Melden Sie
    diese dem Besitzer
    der Website
  • Umgehung der XSS-Filter
    

*Höhere Auszahlungen sind möglich und werden nach dem Ermessen von Microsoft basierend auf der Qualität und Komplexität des Beitrags getätigt.

Definitionen für prämierte Meldungen:

  • Funktionierender Exploit
    • Erweiterung des Proof of Concept, das konkret veranschaulicht, dass die Remotecodeausführung möglich ist, z.B. indem Microsoft Edge Technical Preview gezwungen wird, ein Programm der Wahl des Angreifers (z.B. calc.exe) auszuführen.
  • Das Exploit muss alle relevanten Minimierungen umgehen, die durch den Slow Ring des Previews von Windows 10 Insider zugelassen sind.
  • Proof of Concept
    • Die erforderlichen Dateien und Schritte zur zuverlässigen Reproduktion des Sicherheitsrisikos
  • Remotecodeausführung
    • Ein Sicherheitsrisiko im Slow Ring von Microsoft Edge WIP, bei dem ein Angreifer über Zugriff auf das IT-Gerät eines anderen Benutzers verfügt und Änderungen vornimmt, egal an welchem Ort sich das Gerät befindet.

WAS MACHT EINE NICHT PRÄMIENBERECHTIGTE MELDUNG AUS?

Das Ziel des Bug-Bounty-Programms ist das Aufdecken signifikanter Sicherheitsrisiken, die eine direkte und nachweisbare Auswirkung auf die Sicherheit unserer Benutzer und deren Daten haben. Wir fördern jegliche Meldungen, die Sicherheitsrisiken in unseren Browsern beschreiben. Im Folgenden finden Sie Beispiele für Sicherheitsrisiken, für die Sie im Rahmen dieses Programms keine Prämie erhalten:

  • Sicherheitsrisiken in älteren Versionen als der aktuelle Slow Ring-Build von WIP
  • Sicherheitsrisiken in allen Versionen von Internet Explorer
  • Sicherheitsrisiken in benutzergeneriertem Inhalt
  • Sicherheitsrisiken, die umfangreiche oder unwahrscheinliche Benutzeraktionen erfordern
  • Sicherheitsrisiken bei ausgeschaltetem Memory Garbage Collector (MemGC)
  • Sicherheitsrisiken, die durch Deaktivierung vorhandener Browsersicherheitsfeatures erkannt wurden
  • Sicherheitsrisiken in experimentellen Features, z.B. diejenigen, die unter about:flags aufgeführt sind

Wir behalten uns das Recht vor, jede Meldung abzulehnen, die nach unserem eigenen Ermessen unter eine dieser Sicherheitsrisikokategorien fällt, selbst wenn sie andernfalls prämienberechtigt wäre.

WIE STELLE ICH MEINE ÜBERMITTLUNG BEREIT?

Senden Sie Ihre vollständige Übermittlung an Microsoft an secure@microsoft.com, und beachten Sie die Richtlinien für die Fehlerübermittlung, die Sie hier finden. Wir fordern Sie auf, die Koordinierte Veröffentlichung von Sicherheitsrisiken bei jeder Meldung von Sicherheitsrisiken zu beachten. Wir übernehmen keine Verantwortung für Meldungen, die wir aus irgendeinem Grund nicht erhalten. Wir sind sehr bemüht, unlesbare oder unvollständige Meldungen zu klären.

Wenn Sie eine Meldung übermitteln, die auf andere Weise prämienberechtigt ist, jedoch nicht im Sinne der Koordinierten Veröffentlichung von Sicherheitsrisiken erfolgt, z.B. indem das Sicherheitsrisiko bevor oder zum Zeitpunkt der Meldung im Rahmen dieses Programms veröffentlicht wird, betrachtet Microsoft Ihre Meldung für dieses Programm möglicherweise als nicht prämienberechtigt. Möglicherweise können Sie auch für den Erhalt von Prämien unter zukünftigen Microsoft Bounty-Programmen gesperrt werden.

WELCHE VERTRAULICHKEITSPFLICHTEN ÜBERNEHME ICH, WENN ICH MEINE MELDUNG ÜBERMITTLE?

Wenn Sie uns eine Meldung für dieses Programm übermitteln, stimmen Sie zu, dass Sie niemals funktionierenden Exploit-Code (einschließlich Binärdaten dieses Codes) für das anwendbare Sicherheitsrisiko an andere Entitäten offenlegen, außer Microsoft veröffentlicht diesen Code, oder Sie sind gesetzlich dazu verpflichtet, diesen offenzulegen. Dadurch wird nicht verhindert, dass Sie über das Sicherheitsrisiko sprechen oder die Auswirkungen des Exploits in Code aufzeigen. Vor einer Darlegung in einem öffentlichen Forum oder gegenüber Medienvertretern, schalten Sie bitte secure@microsoft.com ein.

ICH HABE MEINE ÜBERMITTLUNG GESENDET. WAS NUN?

  • Sie erhalten eine E-Mail mit der Benachrichtigung, dass wir Ihre Meldung erhalten haben.
  • Unsere Techniker überprüfen dann die Meldung und validieren deren Prämienberechtigung. Die Überprüfungszeit hängt von der Komplexität und Vollständigkeit Ihrer Meldung ab sowie von der Anzahl der Meldungen, die wir erhalten.
  • Nachdem Ihre Meldung überprüft wurde, werden Sie kontaktiert, damit die nötigen Papiere für den Zahlungsvorgang bereitgestellt werden können.
  • Sie füllen die Papiere für die Steuerdokumentation aus. Nachdem wir alle Unterlagen von Ihnen empfangen haben und bestätigen, dass Sie berechtigt sind, Zahlungen im Rahmen dieses Programms zu erhalten, wird Ihre Meldung als qualifiziert betrachtet, und wir leiten den Zahlungsvorgang ein.

PRÄMIENZAHLUNGEN:

Prämien werden nach dem Ermessen von Microsoft basierend auf der Qualität und der Komplexität des Sicherheitsrisikos ausgezahlt. Microsoft bestimmt nach eigenem Ermessen, welche Meldungen als qualifiziert eingestuft werden. Microsoft bestimmt nach eigenem Ermessen, welche Meldungen als qualifiziert eingestuft werden. Die Mindestprämie, die für qualifizierte Meldungen gezahlt wird, beträgt $ 500 bis zu $ 15.000 (kann sich entsprechend dem Ermessen von Microsoft erhöhen). Es gibt keine Beschränkungen bezüglich der Anzahl der qualifizierten Meldungen, die eine einzelne Person übermitteln kann, und für die sie bezahlt wird.

Wenn Sie keine Prämie für Ihre Meldung eines Sicherheitsrisikos erhalten möchten, freut sich Microsoft, die Prämie in Absprache mit Ihnen an eine anerkannte Wohltätigkeitsorganisation zu spenden.

Alle Personen, die eine Prämie erhalten haben, werden außerdem auf unserer Seite Bounty Hunters: The Honor Roll (Prämienjäger: Die Ehrenliste) bekannt gegeben.

WER IST TEILNAHMEBERECHTIGT?

Sie sind berechtigt, an diesem Programm teilzunehmen, wenn Sie:

  • - mindestens 14 Jahre alt sind. - mindestens 14 Jahre alt sind, jedoch an Ihrem Wohnsitz als minderjährig betrachtet werden. Sie benötigen dann die Erlaubnis Ihre Eltern oder eines Erziehungsberechtigten, bevor Sie an diesem Programm teilnehmen dürfen.
  • - entweder eine Einzelperson sind, die nach eigenem Ermessen teilnimmt, oder Sie für eine Organisation arbeiten, die Ihnen erlaubt, am Programm teilzunehmen. - dafür verantwortlich sind die Regeln zur Teilnahme an diesem Programm Ihres Arbeitgebers zu überprüfen.
  • - unter keine der unter „WER IST NICHT TEILNAHMEBERECHTIGT?“ aufgeführten Kriterien fallen

SIE SIND NICHT TEILNAHMEBERECHTIGT, WENN SIE:

  • - wohnhaft in Ländern sind, die unter US-Sanktionen fallen, z.B. Kuba, Iran, Nordkorea, Sudan, Syrien und zur Krim gehörenden Regionen.
  • - derzeit bei Microsoft Corporation angestellt sind oder bei einer Tochtergesellschaft von Microsoft oder ein direktes Familienmitglied (Elternteil, Geschwisterteil, Ehepartner oder Kind) oder Haushaltsmitglied eines solchen Mitarbeiters sind.
  • - innerhalb der vergangenen sechs Monate vor Ihrer Meldung Mitarbeiter von Microsoft Corporation oder einer Tochtergesellschaft von Microsoft waren.
  • - derzeit (oder innerhalb von sechs Monaten vor Ihrer Meldung) Dienste für Microsoft oder eine Tochtergesellschaft von Microsoft ausführen, und zwar als externer Mitarbeiter, der Zugriff auf das Microsoft-Unternehmensnetzwerk benötigt, wie z.B. Leiharbeiter, Mitarbeiter eines Lieferanten, vor Ort tätiger Geschäftspartner oder Auftragnehmer.
  • - derzeit (oder innerhalb von sechs Monaten vor Ihrer Meldung) Dienste für Microsoft oder eine Tochtergesellschaft von Microsoft ausführen, und zwar als externer Mitarbeiter, der Zugriff auf das Microsoft-Unternehmensnetzwerk benötigt, wie z.B. Leiharbeiter, Mitarbeiter eines Lieferanten, vor Ort tätiger Geschäftspartner oder Auftragnehmer.
  • - in irgendeiner Weise bei der Administration und/oder Ausführung dieses Programms beteiligt waren.

Die Entscheidungen, die von Microsoft getroffen werden, sind endgültig. Microsoft kann dieses Programm zu jeder Zeit aus beliebigem Grund abbrechen. Lesen Sie unbedingt diese gesamten Teilnahmebedingungen, bevor Sie uns eine Meldung senden. Durch die Einreichung einer Meldung für dieses Programm stimmen Sie diesen Bedingungen zu. Wenn Sie diesen Teilnahmebedingungen nicht zustimmen möchten, senden Sie uns keine Meldungen und nehmen Sie auch sonst nicht an diesem Programm teil.

HÄUFIG GESTELLTE FRAGEN UND PROGRAMMANFORDERUNGEN FÜR DAS BUG-BOUNTY-PROGRAMM

Es liegt in Ihrer Verantwortung, die unter den häufig gestellten Fragen aufgelisteten umfassenden Teilnahmebedingungen für das Microsoft-Bounty-Programm einzuhalten. Unter den häufig gestellten Fragen zum Microsoft-Bounty-Programm finden Sie genaue Anleitungen zu Folgendem:

  1. Melden von Fehlern an Microsoft
  2. Microsofts Selektierungs- und Bezahlprozess
  3. Teilnahmekriterien
  4. Richtlinien für die Prämienzahlungen
  5. Ihre Verpflichtungen hinsichtlich der Vertraulichkeit
  6. Microsofts Datenschutzrichtlinie und rechtliche Hinweise
  7. Weitere Fragen zu den verschiedenen Microsoft-Bounty-Programmen
  8. Coordinated Vulnerability Disclosure (Video zur koordinierten Veröffentlichung von Sicherheitsrisiken, in englischer Sprache)

DATENSCHUTZERKLÄRUNGEN

Lesen Sie auch die Datenschutzbestimmungen zu diesem Programm.

RECHTLICHE HINWEISE:

Besuchen Sie den Artikel mit den häufig gestellten Fragen, und scrollen Sie zum Abschnitt „Rechtliche Hinweise“, um zusätzliche Informationen zu den rechtlichen Vorschriften von Microsoft zu erhalten.

Vielen Dank für Ihre Teilnahme am Microsoft-Bug-Bounty-Programm!

MSRC-Blog

SRD-Blog