In totaal biedt Microsoft nu drie programma's voor exploitpremies. Ten eerste beloningen tot 100.000 dollar voor het passeren van verdedigingsmiddelen in Windows 8.1 (Preview). Dit moeten volgens Microsoft wel "echt nieuwe exploit-technieken" zijn.

Ten tweede premies tot 50.000 dollar voor het melden van valide verdediging tegen de mitigation-bypasses van eerstgenoemde beloningsprogramma. En ten derde betalingen tot 11.000 dollar voor kritieke kwetsbaarheden in Internet Explorer 11 Preview, draaiende op de bèta van Windows 8.1.

Bèta's op 26 juni

Zowel de nieuwe versie van Microsofts besturingssysteem als de nieuwe versie van diens webbrowser komen deze maand nog uit als bèta's. De definitieve releases worden na de zomer verwacht. De twee beloningsprogramma's voor respectievelijk exploits en afweer lopen voor onbepaalde tijd, maar de IE11-premies worden alleen in de eerste 30 dagen van de bètaperiode toegekend. Dat is dan van 26 juni tot 26 juli.

Microsoft heeft er bewust voor gekozen om bèta's van zijn producten onder vuur te laten nemen. Formeel gezien betreft het dan ook niet alleen Windows 8.1, maar "de nieuwste versie van ons besturingssysteem" wat op dit moment die aankomende update (codenaam Windows Blue) voor het pc- en tablet-OS is.

Des te eerder, des te beter

"Terwijl we hecht samenwerken met kwetsbaarhedenhandelaars op de witte markt, zoals het Zero Day Initiative van HP's Tipping Point en het Vulnerability Contributor Program van iDEFENSE, bieden veel van deze organisaties geen premies voor software in bèta", blogt securitytopvrouw Katie Moussouris van Microsoft.

Maar sommige onderzoekers houden volgens haar hun kwetsbaarheden onder de pet totdat de code af is en de RTM-status (release to manufacturing) heeft bereikt. Eerder op de hoogte zijn van deze kwetsbaarheden "is altijd beter voor ons en onze klanten".

Tijdens de ontwikkeling van IE10 zijn er in de bèta-periode maar een handjevol kritieke kwetsbaarheden aangemeld, weet techblog Ars Technica. Na de release van die nieuwe webbrowser, die ingebakken zit in het veelgebruikte Windows, is er een plotse piek aan exploitmeldingen geweest. Microsoft wil die piek naar voren halen; in het tijdsbestek waarin de software nog bèta is en dus niet breed in gebruik.

Laatbloeier

Microsoft is wel een laatkomer met het bieden van beloningen voor aangemelde - en dan dus niet direct geopenbaarde - kwetsbaarheden. Internetgigant Google, Firefox-maker Mozilla, sociaal netwerk Facebook, online-betalingssysteem PayPal en telecomreus AT&T bieden allemaal al geld voor bugs.