Microsoft will Sicherheitslücken verschweigen
Microsoft will in Zukunft detaillierte Informationen über Sicherheitslücken erst dann mitteilen, wenn seit mindestens 30 Tagen ein Patch dazu auf dem Markt ist. Außerdem sollen Standards zur Publizierung von Softwarefehlern erarbeitet werden.
Microsoftwill in Zukunft detaillierte Informationen über Sicherheitslücken erst mitteilen, wenn seit mindestens 30 Tagen ein Patch auf dem Markt ist. Außerdem sollen Standards zur Publizierung von Softwarefehlern erarbeitet werden. Daran sind auch die US-Unternehmen ISS (Internet Security Systems), Guardent, Foundstone und Bind View beteiligt, wie unsere SchwesterpublikationComputerwocheberichtet.
Bereits Mitte Oktober kritisierte Scott Culp, Chef des Microsoft Security Response Center, eine "Informations-Anarchie". Die zu schnelle Veröffentlichung von Sicherheitslücken seitens Sicherheitsfirmen und Hackern sei mitverantwortlich für die Ausbreitung von Internet-Würmern und Viren wie "Code Red" und "Nimda" (wir berichteten).
Sicherheitsexperten wie Elias Levy, Cheftechniker vom Unternehmen Security Focus, jedoch weisen darauf hin, die Gates-Company wolle nur über die vielen Fehler in ihrer Software hinwegtäuschen. Statt mehr in die Sicherheit der Microsoft-Software zu investieren, versucht das Unternehmen also diese geheim zu halten.
Die restriktive Informationspolitik gehe jedoch auf Kosten des Anwenders. Es bestehe die Gefahr, dass Microsoft Sicherheitslücken, die nicht bekanntgegeben werden, auch nicht beseitige. Sicherheitsfirmen und Softwarehersteller sollten statt dessen gemeinsam Bugs möglichst schnell beseitigen.
Scott Culp dagegen ist der Ansicht, dass Systemadministratoren keine Details zu wissen brauchen. Es reiche, wenn sie die Bugfixes einspielten.
