PROGRAMMBESCHREIBUNG

Menschen weltweit können im Rahmen des Bug-Bounty-Programms für Microsoft Edge Sicherheitsrisiken im Zusammenhang mit Microsoft Edge übermitteln, die Sie basierend auf EdgeHTML gefunden haben (enthalten im neuesten Windows 10 Insider Preview-Slow Ring). Für qualifizierte Einsendungen gibt es Belohnungen in Höhe von 500 bis 15.000 US-Dollar. Sie variieren je nach Ermessen von Microsoft hinsichtlich der Qualität und Komplexität des Sicherheitsrisikos sowie den Microsoft-Nutzungsbedingungen für Bug-Bounty-Programme.
 
Mit dem bevorstehenden Release von Microsoft Edge (Chromium-basiert) endet das Bug-Bounty-Programm für Microsoft Edge (EdgeHTML) am 4. September 2019.
 
Updates für Windows 10 Insider Preview werden Testern in verschiedenen Updateringen zur Verfügung gestellt. Bei diesem Bug-Bounty-Programm sollen Fehler im Windows Insider Preview-Slow Ring übermittelt werden. Weitere Informationen finden Sie unter https://insider.windows.com/ und https://insider.windows.com/Home/GetStarted.
 
 

WELCHE EINSENDUNGEN WERDEN BERÜCKSICHTIGT?

Ziel des Bug-Bounty-Programms von Microsoft ist es, bedeutende Sicherheitsrisiken zu erkennen, die direkte und nachweisbare Auswirkungen auf die Sicherheit der Kunden haben. Einsendungen von Sicherheitsrisiken müssen die folgenden Kriterien erfüllen, um beim Bug-Bounty-Programm berücksichtigt werden zu können:
  • Identifizieren Sie ein ursprüngliches und zuvor nicht gemeldetes Sicherheitsrisiko in Microsoft Edge, das Sie basierend auf EdgeHTML im WIP-Slow Ring gefunden haben.
    • Die Einsendung muss die Buildnummer des WIP-Slow Rings enthalten, in dem das Sicherheitsrisiko vorliegt.
  • Formulieren Sie präzise und leicht verständliche Schritte für die Reproduzierbarkeit.
    • Auf diese Weise können Einsendungen so schnell wie möglich verarbeitet und der höchste Betrag für diese Art von Sicherheitsrisiko ausgezahlt werden.
  • Proof of Concept (PoC)

WIE WERDEN ZAHLUNGSBETRÄGE FESTGELEGT?

Die Belohnungen reichen von 500 bis 25.000 US-Dollar. Höhere Belohnungen sind basierend auf der Qualität und Komplexität der Einsendung nach eigenem Ermessen von Microsoft möglich. Bereitgestellte Berichte, die nicht im Rahmen eines Bug-Bounty-Programms berücksichtigt werden können, können dennoch veröffentlicht werden, wenn sie zur Behebung eines Sicherheitsrisikos beitragen.
  • Wenn wir von verschiedenen Absendern Fehlerberichte für ein und dasselbe Problem erhalten, wird die erste Einsendung basierend auf den oben genannten Kriterien belohnt.
  • Wenn ein weiterer Bericht aber neue Informationen bereitstellt, die Microsoft zuvor nicht bekannt waren, erhält der Absender dieser doppelten Einsendung ebenfalls eine Belohnung.
  • Neue Sicherheitsrisiken, die nur den Schweregrad „Mittel“ aufweisen, können möglicherweise dennoch belohnt werden.
Art des Sicherheitsrisikos

Hohe Qualität*

Baseline**

Remoteausführung von Code Bis zu 15.000 USD Von 500 bis 5.000 USD
Verstoß gegen die Same-Origin-Policy (Universal XSS) Bis zu 6.000 USD Von 500 bis 2.000 USD
Veröffentlichung von Informationen Bis zu 5.000 USD Von 500 bis 1.000 USD
Andere neues Sicherheitsrisiko (Cloud Solution Provides-Umgehung, Refered Spoofing etc.) Bis zu 2.000 USD Bis zu 500 USD
 
* Erfüllt alle oben beschriebenen Kriterien für die Einsendung, enthält einen PoC hoher Qualität und benennt verschiedene Art und Weisen, auf die ein Angreifer die Erkenntnisse gegen einen Benutzer verwenden kann.
** Erfüllt zwar alle oben beschriebenen Kriterien für die Einsendung, enthält allerdings keine weiteren detaillierten Informationen und/oder nur einen PoC geringer Qualität.

Definitionen für qualifizierte Einsendungen:

Proof of Concept
Die erforderlichen Dateien und Schritte für das zuverlässige Reproduzieren des Sicherheitsrisikos.
 
Remoteausführung von Code
Ein Sicherheitsrisiko im Microsoft Edge-WIP-Slow Ring (EdgeHTML), bei dem ein Angreifer Zugriff auf das Computergerät einer anderen Person hat und Änderungen vornehmen kann, unabhängig davon, wo sich das Gerät befindet.

WELCHE EINSENDUNGEN WERDEN NICHT BERÜCKSICHTIGT?

Ziel des Bug-Bounty-Programms ist es, bedeutende Sicherheitsrisiken zu erkennen, die direkte und nachweisbare Auswirkungen auf die Sicherheit unserer Benutzer und deren Daten haben. Wir begrüßen alle Einsendungen, die uns über Sicherheitsrisiken in unseren Browsern informieren. Das Einreichen von Berichten zu den folgenden Beispielen für Sicherheitsrisiken wird im Rahmen dieses Programms aber nicht belohnt:
  • Sicherheitsrisiken in anderen als dem aktuellen WIP-Slow Build
  • Sicherheitsrisiken in anderen Versionen von Internet Explorer
  • Sicherheitsrisiken in einer Version von Microsoft Edge (Chromium-basiert)
  • Sicherheitsrisiken in von Benutzern generierten Inhalten
  • Sicherheitsrisiken, die umfangreiche oder unwahrscheinliche Benutzeraktionen erfordern
  • Sicherheitsrisiken bei deaktiviertem MemGC (Memory Garbage Collector)
  • Sicherheitsrisiken, die durch Deaktivieren vorhandener Sicherheitsfeatures des Browsers gefunden wurden
  • Sicherheitsrisiken in experimentellen Features wie den untere „about:flags“ aufgeführten
Wir behalten uns das Recht vor, nach eigenem Ermessen jegliche Einsendung abzulehnen, selbst wenn diese in eine dieser Kategorien von Sicherheitsrisiken eingeordnet werden kann oder im Rahmen des Bug-Bounty-Programms eigentlich berücksichtigt werden könnte.

WIE ÜBERMITTLE ICH MEINEN BERICHT?

Senden Sie Ihre vollständige Einsendung mithilfe des MSRC-Portals an Microsoft, wenn diese den Richtlinien für Einsendungen von Sicherheitsrisiken entspricht. Wir bitten Sie, die Prinzipien der koordinierten Offenlegung von Sicherheitsrisiken (Coordinated Vulnerability Disclosure) zu befolgen, wenn Sie Sicherheitsrisiken melden. Wir bemühen uns, nicht lesbare oder unvollständige Einsendungen zu klären.

Haben Sie Fragen? Wir stehen Ihnen immer unter secure@microsoft.com zur Verfügung.

BELOHNUNGEN FÜR EINSENDUNGEN

  • Microsoft behält sich das Recht vor, Einsendungen im Rahmen des Programms nach eigenem Ermessen zu berücksichtigen und zu belohnen.
  • Es gibt keine Einschränkungen hinsichtlich der Anzahl qualifizierter Einsendungen eines einzelnen Absenders oder der Anzahl von Belohnungen, die ein Absender möglicherweise empfängt.
  • Wenn wir von verschiedenen Absendern Fehlerberichte für ein und dasselbe Problem erhalten, wird die erste Einsendung belohnt.
  • Wenn ein weiterer Bericht aber neue Informationen bereitstellt, die Microsoft zuvor nicht bekannt waren, erhält der Absender dieser doppelten Einsendung ebenfalls eine Belohnung.
  • Wenn eine Einsendung im Rahmen mehrerer Bug-Bounty-Programme berücksichtigt werden kann, erhalten Sie als Belohnung den höchsten Auszahlungsbetrag eines einzelnen Bug-Bounty-Programms.

RECHTLICHE HINWEISE

Weitere Informationen zu den Anforderungen und rechtlichen Richtlinien für das Bug-Bounty-Programm von Microsoft finden Sie in unseren Microsoft-Nutzungsbedingungen für das Bug-Bounty-Programm und auf der Seite für häufig gestellten Fragen im Zusammenhang mit unserem Programm.
 

Vielen Dank für Ihre Teilnahme am Bug-Bounty-Programm von Microsoft.

 

REVISIONSVERLAUF

  • 4. August 2016: Start des Programms
  • 7. Dezember 2018: Hinzufügen des Abschnitts „Revisionsverlauf“ und Aktualisieren der Programmeinführung
  • 8. April 2019: Aktualisierung der berücksichtigten Versionen von Microsoft Edge (EdgeHTML); Aktualisierung der Beschreibungen der Belohnungen und Abschnittseinführungen
  • 5. August 2019: Bekanntgeben des Ablaufdatums des Programms am 4. September 2019