Mozilla zahlt Bug-Jägern 3000 US-Dollar

Die Mozilla Foundation belohnt Entdecker von Sicherheitslücken ihrer Software künftig mit jeweils 3000 US-Dollar. Bislang waren im Rahmen des 2004 gestarteten "Mozilla Security Bug Bounty Programs" lediglich 500 US-Dollar als Erfolgsprämie ausgeschrieben. Außerdem darf sich der Bug-Finder nun über ein T-Shirt freuen. Die Sicherheitslücke muss sich über das Internet respektive Netzwerk ausnutzen lassen (Remote Exploit) und darf noch nicht öffentlich dokumentiert sein.

Die Aktion beschränkt sich auf die jeweils aktuellen Versionen von Firefox, Thunderbird, Firefox Mobile sowie alle Mozilla-Dienste, die eine feindliche Übernahme der genannten Anwendungen ermöglichen könnten. Fehler in Software von Drittanbietern, etwa Browser-Add-ons oder -Plug-ins, zählen hingegen nicht.

Damit sich aus dem Belohnungsprogramm kein zweifelhaftes Geschäftsmodell entwickelt, sind Entwickler, die an der fehlerbehafteten Stelle im Quellcode mitgewirkt haben, von der Teilnahme ausgeschlossen. Auch Mozilla-Mitarbeiter sind außen vor. Für das Startkapital haben Linspire und Mark Shuttleworth gesorgt, der Initiator der Linux-Distribution Ubuntu.

Mozilla reagiert mit der Prämienerhöhung auf Entwicklungen in der Sicherheitsbranche. Längst hat sich ein Markt für unentdeckte Schwachstellen etabliert. Nicht nur seriöse Sicherheitsfirmen wie TippingPoint oder VeriSign sind an den Lücken interessiert, auch für Zeitgenossen mit kriminellen Intentionen sind die Programmierfehler ein wertvolles Gut.

Seit Anfang dieses Jahres folgt Google Mozillas Beispiel und zahlt Entdeckern von bislang unbekannten Sicherheitslücken 500 US-Dollar. In besonders wichtigen Fällen lässt der Suchmaschinenriese auch bis zu 1337 US-Dollar springen. Ein T-Shirt gibts bei Google allerdings (noch) nicht. (rei)