PROGRAMMBESCHREIBUNG

Das Bug-Bounty-Programm für Microsoft Edge Insider (Chromium-basiert) ermöglicht es Menschen weltweit, Sicherheitsrisiken in der nächsten Version von Microsoft Edge (Chromium-basiert) zu finden und zu übermitteln. Für qualifizierte Einsendungen gibt es Belohnungen in Höhe von 1.000 bis 30.000 US-Dollar.

Die Belohnungen variieren je nach Ermessen von Microsoft hinsichtlich des Schweregrads und der Auswirkung des Sicherheitsrisikos, der Qualität der Einsendung sowie den Microsoft-Nutzungsbedingungen für das Bug-Bounty-Programm.

WELCHE EINSENDUNGEN WERDEN BERÜCKSICHTIGT?

Ziel des Bug-Bounty-Programms für Microsoft Edge Insider (Chromium-basiert) ist es, Sicherheitsrisiken zu erkennen, die nur in der nächsten Version von Microsoft Edge vorkommen und direkte und nachweisbare Auswirkungen auf die Sicherheit der Kunden haben. Einsendungen zu Sicherheitsrisiken müssen die folgenden Kriterien erfüllen, um beim Bug-Bounty-Programm berücksichtigt werden zu können:

  • Identifizieren Sie ein zuvor nicht gemeldetes Sicherheitsrisiko
    in Microsoft Edge
    (Chromium-basiert) im
    Beta Channel
    oder
    Dev Channel,
    das sich im entsprechenden
    Channel von Google Chrome
    nicht reproduzieren lässt.
    • Die Sicherheitsrisiken müssen zum Zeitpunkt der Übermittlung in den neuesten Versionen von Microsoft Edge reproduzierbar sein, wenn diese auf den zum Zeitpunkt der Übermittlung neuesten Versionen von Microsoft (einschließlich Windows 10, Windows 7 SP1 oder Windows 8.1) oder MacOS mit allen Patches ausgeführt werden.
    • Schließen Sie die zum Reproduzieren des Sicherheitsrisikos verwendete Versionsnummer von Microsoft Edge (z. B. Dev Channel-Version 77.0.188.0 (offizieller Build) (64-Bit)) und die Versionsnummer von Chrome ein, die Sie verwendet haben, um zu überprüfen, ob das Sicherheitsrisiko in Chrome nicht reproduziert werden kann. Die berechtigten Versionsnummern der nächsten Version von Microsoft Edge beginnen ab Version 77 oder höher.
  • Beim Bug-Bounty-Programm werden auch nachweisbare Exploits in Komponenten von Drittanbietern berücksichtigt, die zwar in Microsoft Edge, nicht aber in Chrome reproduziert werden können. Das Testen in Windows Insider Preview ist nicht erforderlich.
    • Hierfür ist ein vollständiger Proof of Concept (PoC) zum Nachweis des Exploits erforderlich. Das Identifizieren einer veralteten Bibliothek wird beispielsweise nicht berücksichtigt.
  • Übermitteln Sie präzise und leicht verständliche Schritte für die Reproduzierbarkeit entweder schriftlich oder im Videoformat.
    • Dadurch können Einsendungen schnell verarbeitet und mit den höchsten Belohnungen vergütet werden.
  • Ihre Übermittlung muss einen Proof of Concept (PoC) enthalten.

Microsoft behält sich das Recht vor, nach eigenem Ermessen jegliche Einsendung zu akzeptieren oder abzulehnen, die die oben genannten Kriterien nicht erfüllt.

ERSTE SCHRITTE

Laden Sie die neueste Version von Microsoft Edge herunter, und informieren Sie sich mithilfe von Blogbeiträgen des Microsoft Edge-Teams, Communityforen, GitHub, der Microsoft Edge Insider-Seite und Twitter über die neuesten Features und Releases.

In Microsoft Edge (Chromium-basiert) gibt es einige spezifische Features, die sich für das Suchen nach Sicherheitsrisiken im Rahmen des Bug-Bounty-Programms von Microsoft eignen. Im Folgenden finden Sie einige Beispiele:

  • IE-Modus (Internet Explorer): Mit diesem Feature können Unternehmensadministratoren eine Liste vertrauenswürdiger Websites verwalten, die im IE-Modus des Microsoft Edge-Browsers geöffnet werden dürfen. Dieses Feature erfordert eine unterstützte Version von Windows. In der neuen Dokumentation zu Microsoft Edge finden Sie weitere Informationen zu diesem Feature.
  • PlayReady-DRM: Dieses Feature ermöglicht das Anzeigen von Medieninhalten mit dem neuen Microsoft Edge-Browser, die (zusätzlich zum von Google Chrome unterstützten WideVine-DRM) mit dem PlayReady-DRM geschützt werden.
  • Anmelden mit einem Microsoft-Konto (MSA) oder Azure Active Directory (AAD): Mit diesem Feature können sich Benutzer mit einem Microsoft-Konto oder Azure Active Directory im Browser anmelden oder die Synchronisierung mit Geräten und anderen Personalisierungen aktivieren. Sicherheitsrisiken im Zusammenhang mit Microsoft Identity-Diensten werden im Rahmen des Bug-Bounty-Programms für Microsoft Identity überprüft und vergütet.
  • Windows Defender Application Guard: Sicherheitsrisiken im bezüglich Windows Defender Application Guard werden im Rahmen des Bug-Bounty-Programms für Windows Defender Application Guard (WDAG) überprüft und vergütet. Sicherheitsrisiken, die zu einem Escape vom WDAG-Container zum Betriebssystem des Hosts führen, werden mit Belohnungen in Höhe von bis zu 30.000 US-Dollar vergütet.

WIE WERDEN ZAHLUNGSBETRÄGE FESTGELEGT?

Die Belohnungen reichen von 1.000 bis 30.000 US-Dollar. Höhere Belohnungen sind basierend auf der Qualität und Komplexität der Einsendung nach eigenem Ermessen von Microsoft möglich. Bereitgestellte Berichte, die nicht im Rahmen eines Bug-Bounty-Programms berücksichtigt werden können, können dennoch veröffentlicht werden, wenn sie zur Behebung eines Sicherheitsrisikos beitragen.

Auswirkung auf die Sicherheit

Berichtsqualität

Schweregrad

Kritisch

Wichtig

Mittel

Niedrig

Rechteerweiterung (Elevation of Privilege, EoP) und WDAG-Container-Escape

Bis zu 30.000 USD im Rahmen des

Bug-Bounty-Programms für Windows Defender Application Guard (WDAG)

Elevation of Privilege (EoP)

Hoch

Mittel

Niedrig

15.000 USD

13.000 USD

8.000 USD

10.000 USD

8.000 USD

5.000 USD

0 USD

0 USD

Remoteausführung von Code (RCE)*

Hoch

Mittel

Niedrig

10.000 USD

8.000 USD

5.000 USD

7.000 USD

4.000 USD

1.000 USD

0 USD

0 USD

Veröffentlichung von Informationen

Hoch

Mittel

Niedrig

10.000 USD

8.000 USD

5.000 USD

6.000 USD

3.000 USD

1.000 USD

0 USD

0 USD

Spoofing/Manipulation

Hoch

Mittel

Niedrig

Nicht verfügbar**

6.000 USD

3.000 USD

1.000 USD

0 USD

0 USD

Umgehung einer Sicherheitsfunktion

Belohnung abhängig

von den Auswirkungen

der Umgehung (z. B. Umgehung der Isolation einer Website, SOP-Umgehung etc.)

0 USD

0 USD

Denial of Service

Hoch/Niedrig

Nicht berücksichtigt

* Sicherheitsrisiko in Microsoft Edge (Chromium-basiert), bei dem ein Angreifer Remotezugriff auf das Computergerät einer anderen Person hat und Änderungen vornehmen kann, unabhängig davon, wo sich das Gerät befindet

** Nicht verfügbar: Sicherheitsrisiken, die die aufgeführten Auswirkungen auf die Sicherheit haben, können bei diesem Schweregrad nicht berücksichtigt werden.

Ein Bericht hoher Qualität enthält die Informationen, die ein Techniker zum schnellen Reproduzieren, Verstehen und Beheben des Problems benötigt. Diese Einsendung, die schriftlich oder in Form eines Videos übermittelt wird, umfasst also wichtige Hintergrundinformationen, eine Beschreibung des Fehlers sowie einen angefügten Proof of Concept (PoC). Hier finden Sie Beispiele für Berichte hoher und niedriger Qualität.

Wir haben Verständnis dafür, dass einige Probleme extrem schwer zu reproduzieren und zu verstehen sind. Dies wird bei der Bewertung der Qualität einer Einsendung berücksichtigt.

NICHT BERÜCKSICHTIGTE EINSENDUNGEN UND SICHERHEITSRISIKEN

Das Überprüfen jeder einzelnen Einsendung ist für Microsoft sehr wichtig. Allerdings können einige Einsendungen und Arten von Sicherheitsrisiken beim Bug-Bounty-Programm nicht berücksichtigt werden. Im Folgenden finden Sie einige der häufig auftretenden Probleme mit niedrigem oder nicht relevantem Schweregrad, für die es keine Belohnungen gibt:

  • Öffentlich gemachte Sicherheitsrisiken, die Microsoft bereits gemeldet wurden oder einem Großteil der Sicherheitscommunity bekannt sind
  • Sicherheitsrisiken, die zum Zeitpunkt der Übermittlung in Chrome reproduziert werden können
  • Sicherheitsrisiken, die zum Zeitpunkt der Übermittlung nur in Canarybuilds oder früheren Builds reproduziert werden können
  • Sicherheitsrisiken in anderen Versionen von Internet Explorer
  • Sicherheitsrisiken in Microsoft Edge-Versionen (EdgeHTML) (bis einschließlich Version 45)
  • Sicherheitsrisiken in Microsoft Edge bei der Ausführung auf Betriebssystemen für mobile Geräte wie iOS oder Android
  • Sicherheitsrisiken in von Benutzern generierten Inhalten
  • Sicherheitsrisiken, die umfangreiche oder unwahrscheinliche Benutzeraktionen erfordern
  • Sicherheitsrisiken bei deaktiviertem MemGC (Memory Garbage Collector)
  • Sicherheitsrisiken, die durch Deaktivieren vorhandener Sicherheitsfeatures des Browsers gefunden wurden
  • Sicherheitsrisiken in experimentellen Features wie den unter „edge://flags“ aufgeführten

Microsoft behält sich das Recht vor, nach eigenem Ermessen jegliche Einsendung zu akzeptieren oder abzulehnen, wenn diese in eine dieser Kategorien eingeordnet werden kann.

WIE ÜBERMITTLE ICH MEINEN BERICHT?

Senden Sie Ihre vollständige Übermittlung mithilfe des MSRC-Portals an Microsoft, wenn diese den Richtlinien für Einsendungen von Sicherheitsrisiken entspricht. Wir bitten Sie, die Prinzipien der koordinierten Offenlegung von Sicherheitsrisiken (Coordinated Vulnerability Disclosure) zu befolgen, wenn Sie Sicherheitsrisiken melden. Wir bemühen uns, nicht lesbare oder unvollständige Einsendungen zu klären.

Haben Sie Fragen? Sie können uns jederzeit über secure@microsoft.com kontaktieren.

BELOHNUNGEN FÜR EINSENDUNGEN

  • Microsoft behält sich das Recht vor, Einsendungen im Rahmen des Programms nach eigenem Ermessen zu berücksichtigen und zu belohnen.
  • Es gibt keine Einschränkungen hinsichtlich der Anzahl qualifizierter Einsendungen eines einzelnen Absenders oder der Anzahl von Belohnungen, die ein Absender möglicherweise empfängt.
  • Wenn wir von verschiedenen Absendern Fehlerberichte für ein und dasselbe Problem erhalten, wird die erste Einsendung belohnt.
  • Wenn ein weiterer Bericht aber neue Informationen bereitstellt, die Microsoft zuvor nicht bekannt waren, erhält der Absender dieser doppelten Einsendung möglicherweise ebenfalls eine Belohnung.
  • Wenn eine Einsendung im Rahmen mehrerer Bug-Bounty-Programme berücksichtigt werden kann, erhalten Sie als Belohnung den höchsten Auszahlungsbetrag eines einzelnen Bug-Bounty-Programms.

GESCHÄFTSBEDINGUNGEN

Weitere Informationen zu den Anforderungen und rechtlichen Richtlinien für das Bug-Bounty-Programm von Microsoft finden Sie in unseren Microsoft-Nutzungsbedingungen für das Bug-Bounty-Programm, auf der Seite für häufig gestellten Fragen im Zusammenhang mit unserem Programm und den Richtlinien für das Safe Harbor-Programm.

Vielen Dank für Ihre Teilnahme am Bug-Bounty-Programm von Microsoft.

REVISIONSVERLAUF

  • 20. August 2019: Start des Programms