image

Bedrijf betaalt 10.000 dollar voor ernstig Windows lek

maandag 19 juni 2006, 14:16 door Redactie, 5 reacties

Bijna een kwart van alle lekken die Microsoft deze maand gepatcht heeft zijn gevonden dankzij de beloningsprogramma's van verschillende security bedrijven. Van de 21 lekken waren er vijf bekend gemaakt door VeriSign iDefense en 3com TippingPoint.

"Het was zeer interessant om de bulletins van dinsdag te zien. De markt is aan het veranderen, en mensen zien dat lekken geld waard zijn" aldus Mike Sutton, de directeur van VeriSign iDefense Labs. Het Vulnerability Contributor Program (VCP) van iDefense leverde drie lekken op, het vierde lek werd door een eigen onderzoeker gevonden. De twee andere lekken waren afkomstig van TippingPoint's Zero Day Initiative (ZDI).

Een van de lekken die door Idefense's VCP werd gevonden was goed voor de beloning van 10.000 dollar. Elk kwartaal organiseert het bedrijf een speciale competitie waarbij een bepaald soort lek extra geld waard is. In dit geval ging het om een Windows lek dat door Microsoft als "ernstig" bestempeld moest worden. De onderzoeker die de ART(image file format) image bibliotheek buffer overflow meldde moet dan ook dolgelukkig zijn toen hij zag dat Microsoft het lek inderaad de "critical" rating had gegeven.

Om dit kwartaal nog kans op 10.000 dollar te maken moeten onderzoekers een ernstig database lek vinden. Tot 30 juni kan men gevonden lekken via het VCP melden. Wat de opdracht voor het volgende kwartaal wordt is nog niet bekend.

Reacties (5)
19-06-2006, 15:04 door Anoniem
Ik vind het opzich wel een goede actie van die bedrijven.
Ook leuk dat ze net als Security.nl een soort van
themamaanden hebben :)
19-06-2006, 20:00 door Anoniem
Daar zal Microsoft niet blij mee zijn, (dat hebben ze ook al
aangegeven ook)... Want nu moeten ze namelijk lekken dichten
waarvan ze al wisten maar niet aan durfden omdat het nogal
riskant bug-fixen is... Met risico's op serieuze problemen met
bestaande software.
19-06-2006, 20:27 door Anoniem
typisch, wat levert dit nou precies voor die security
bedrijven op dan? aandacht?
19-06-2006, 21:03 door Anoniem
Kijk door een beloning hebben blackhat een keuze, of legitiem geld
verdienen of middels blackhat activiteiten van criminele organisaties geld
verdienen.

Overigens is de vrijblijvendheid en het "prijzengeld" wel erg laag, immers
er worden miljoenen verdient met spam & scam.
20-06-2006, 09:49 door Leopard
Overigens is de vrijblijvendheid en het
"prijzengeld" wel erg laag, immers er worden miljoenen
verdient met spam & scam.


dus aan 1 exploit worden er miljoenen verdiend?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.