829726

Microsofts erste Sicherheitsmeldungen für Fremdprodukte

21.04.2011 | 14:51 Uhr |

Microsoft hat zum ersten Mal Sicherheitsmeldungen für Software anderer Hersteller heraus gegeben. Sie betreffen die Web-Browser Chrome und Opera. Die behandelten Schwachstellen sind allerdings schon seit Monaten behoben.

Microsoft ändert seine Politik bei der Veröffentlichung von Sicherheitslücken in Fremdprodukten, die unter Windows laufen. Damit einher geht auch eine neue Terminologie: es heißt jetzt nicht mehr "responsible disclosure" (verantwortungsvolle Veröffentlichung) sondern " coordinated vulnerability disclosure " (CVD), also "koordinierte Veröffentlichung von Sicherheitslücken".

Die ersten Ausläufer dieses seit längerer Zeit vorbereiteten Schwenks sind zwei Sicherheitsmeldungen ("Microsoft Vulnerability Research Advisories", MSVR), die Googles Web-Browser Chrome betreffen, eine davon betrifft auch Opera. Die erste Meldung behandelt eine der Schwachstellen in Chrome, die Google im September 2010 mit der Version 6.0.472.59 behoben hat. In der zweiten Mitteilung geht es um eine HTML5-Datenleck in Opera und Chrome. Opera hat es im Oktober 2010 in der Version 10.63 geschlossen , Google im Dezember mit Chrome 8.0.552.215 .

In Zukunft soll es jedoch nicht bei Mitteilungen über historische Lücken bleiben. Sollte eine Schwachstelle Angriffe auf Windows-Benutzer lenken, will Microsoft auch zeitnahe Warnungen veröffentlichen. Ein wichtiger Grundsatz bleibt jedoch die Abstimmung mit den Herstellern der jeweils betroffenen Produkte. Bei Microsoft gibt seit November eine interne Anweisung an die Mitarbeiter, nach der jede gefundene Sicherheitslücke an das MSVR-Team zu melden ist. Das gilt für Schwachstellen in Microsoft-Produkten ebenso wie für Lücken in Fremdprodukten.

Im Gegensatz zu Microsoft und vielen Herstellern vertritt eine Reihe von Sicherheitsforschern eine Politik, die als "full disclosure" (komplette Veröffentlichung) bekannt ist. Dabei werden Details zu neuen Sicherheitslücken veröffentlicht, ohne allzu viel Rücksicht auf die jeweils betroffenen Hersteller zu nehmen. Krititker sehen darin eine Gefahr für die Anwender, da auch die bösen Buben für sie wertvollen Informationen erhalten. Befürworter meinen, dadurch erreiche man oft, dass eine Lücke schnellstmöglich geschlossen würde.

0 Kommentare zu diesem Artikel
829726