135388

Microsoft startet zum Patch-Day neues Sicherheitsprogramm

09.05.2005 | 15:11 Uhr |

Microsoft will künftig schneller reagieren, wenn neue Schwachstellen in Windows & Co. auftauchen. Binnen eines Werktages sollen die Anwender informiert werden. Das Pilot-Programm "Microsoft Security Advisories" startet heute - mit dem Patch-Day im Mai.

Einmal im Monat ist Patch-Day und zwischenzeitlich müssen Windows-Anwender auf ein sicheres Betriebssystem und Software hoffen. Hier will Microsoft Abhilfe schaffen. Mit dem kommenden Patch-Day am Dienstag starten die Redmonder auch das Pilot-Projekt "Microsoft Security Advisories". Künftig sollen Anwender durch dieses Projekt umgehend über sicherheitsrelevanten Themen informiert werden.

Für "Microsoft Security Advisories" wird das "Microsoft Security Response Center" (MSRC) verantwortlich sein. Sobald Sicherheitsexperten eine Sicherheitslücke entdecken, entsteht eine Zwickmühle. Einerseits muss der Hersteller der Software über die Lücke informiert werden, so dass er Gelegenheit hat, sie möglichst schnell zu schließen. Andererseits dürfen nicht zu viele Informationen über diese Lücke an die Öffentlichkeit geraten. Ansonsten hätten Angreifer die Gelegenheit, einen Angriff zu starten, solange die Lücke existiert. Bisher reagierte Microsoft auf Hinweise durch Sicherheitsexperten meist mit Schweigen.

Die "Microsoft Security Advisories" sollen Abhilfe schaffen. Microsoft will künftig die Anwender binnen eines Werktages informieren, sobald eine Sicherheitslücke bekannt wird. Inklusive Tipps, wie das System abgesichert werden kann, solange der Patch noch in der Entwicklung ist. Außerdem soll ein Alarm ausgelöst werden, wenn die Sicherheit der Anwender durch andere Umstände, beispielsweise einer Phishing-Attacke, bedroht wird.

Eine Warnung soll ebenfalls veröffentlicht werden, wenn zu einer existierenden und bereits gepatchten Lücke ein Programmcode im Internet aufgetaucht ist, den Angreifer für Attacken nutzen könnten. Damit würden Anwender erneut eindringlich darauf hingewiesen, den entsprechenden Patch zu installieren und sich so zu schützen.

Die "Microsoft Security Advisories" sollen einen reinen Informationscharakter haben. Microsoft wird keinerlei Einstufung der Problematik geben, wie es bei den Sicherheitslücken ansonsten üblich ist. Über eine Kennziffer der "Advisories" sollen die Anwender auch die Möglichkeit haben, die Entwicklung einer Warnung mitzuverfolgen.

Eine klare Abgrenzung zu den monatlichen Sicherheitsbulletins wird es weiterhin geben. Die zu jedem Patch-Day erscheinenden Sicherheitsupdates werden weiterhin jeweils ihr eigenes Sicherheitsbulletin besitzen, in denen alle Details zu den jeweiligen Patches zusammengefasst werden. Eventuell werden dabei mehrere vorher veröffentlichte "Advisories" zu einem Builletin zusammengefasst.

Microsoft Patch Day: Nur ein Security Bulletin (PC-WELT Online, 06.05.2005)

0 Kommentare zu diesem Artikel
135388