IT-sikkerhetsselskapet iDefense Labs har en institusjon de kaller «Quarterly Vulnerability Challenge», der hackere loves dusør mot å sende inn hittil ukjente sårbarheter i utbredt programvare.
Les også:
- [02.02.2007] Talegjenkjenning gjør Vista usikker
- [29.01.2007] Snevrere regler for å oppgradere til Vista
- [21.02.2006] Tilbyr dusør for sårbarheter
Utfordringen i første kvartal i år gjelder Microsoft Windows Vista og den tilhørende nettleseren Internet Explorer 7.0: Remote Arbitrary Code Execution Vulnerabilities in Vista & IE 7.0.
I kunngjøringen heter det at iDefense vil betale for sårbarheter som oppfyller disse kriteriene:
- Den må kunne utnyttes gjennom Internett, og tillate kjøring av vilkårlig kode i en standard installasjon av Vista eller IE7.
- Den må finnes i den nyeste versjonen av de to produktene, med alle aktuelle fikser og oppgraderinger, altså ikke betaversjoner og liknende.
- Den må være ukjent og upublisert.
- Den må ikke kreve bestemte tredjepartsprodukter.
- Den må ikke kreve annet av offeret enn et besøk på et ondsinnet nettsted.
Dusøren begrenses til 8000 dollar per sårbarhet, og det er ikke aktuelt å utbetale flere enn seks dusører. Sendes det inn flere enn seks sårbarheter som kvalifiserer til dusør, er det de seks første som «vinner».
Dusøren kan økes med mellom 2000 og 4000 dollar dersom man også sender inn kode som kan utnytte den aktuelle sårbarheten. Kriteriene for dette er kodens pålitelighet, kvalitet, lesbarhet og dokumentasjon.
Det innebærer at man kan få opptil 12.000 dollar per sårbarhet. Tidligere kvartalsutfordringer fra iDefense har begrenset utbetalingen til 10.000 dollar per sårbarhet.
