Auf der Jagd nach weitere »Spectre«-Lecks: Intel lobt höhere Prämien für Schwachstellen aus

»Meltdown« und »Spectre« haben Intel offenbar veranlasst, sein Bug-Bounty-Programm zu überarbeiten. Es steht nun allen Interessierten offen und sieht höhere Prämien für gemeldete Schwachstellen vor.

Intel-Zentrale in Santa Clara, Kalifornien
(Foto: Intel)

Intel hat sein im März des vergangenen Jahres gestartetes Bug-Bounty-Programm generalüberholt. Konnten bisher nur ausgewählte Sicherheitsexperten mitmachen, die der Hersteller dazu eingeladen hatte, so steht es nun allen Interessierten offen. Zudem werden die Prämien deutlich erhöht. Bislang konnten die Entdecker von Schwachstellen in Intel-Produkten lediglich bis zu 30.000 Dollar erhalten. Künftig sind es bis zu 250.000 Dollar. Diese Summe gibt es für Bugs, die sich für sogenannte Side-Channel-Attacken im Stile von »Spectre« nutzen lassen. In allen anderen Bereichen steigen die Prämien auf bis zu 100.000 Dollar.

Mit den Anpassungen will Intel eine größere Zahl von Sicherheitsexperten ansprechen und es attraktiver machen, entdeckte Bugs tatsächlich beim Hersteller zu melden. Ob das allerdings ausreicht, um ein PR-Debakel wie bei »Meltdown« und »Spectre« künftig zu verhindern, bleibt abzuwarten. Immerhin wurde Intel auch über diese beiden Lücken frühzeitig informiert und schien dann trotzdem überrascht und überfordert, als sie Monate später öffentlich bekannt wurden. Der Hersteller spielte die Bedrohung zunächst herunter und brauchte lange, um wichtige Informationen zu veröffentlichen. Patches hatte er trotz langer Vorlaufzeit nicht fertig - und noch immer gibt es für viele Prozessoren keine Updates des Microcodes.