167344

Microsoft will Sicherheitslücken verschweigen

12.11.2001 | 11:57 Uhr |

Microsoft will in Zukunft detaillierte Informationen über Sicherheitslücken erst dann mitteilen, wenn seit mindestens 30 Tagen ein Patch dazu auf dem Markt ist. Außerdem sollen Standards zur Publizierung von Softwarefehlern erarbeitet werden.

Microsoft will in Zukunft detaillierte Informationen über Sicherheitslücken erst mitteilen, wenn seit mindestens 30 Tagen ein Patch auf dem Markt ist. Außerdem sollen Standards zur Publizierung von Softwarefehlern erarbeitet werden. Daran sind auch die US-Unternehmen ISS (Internet Security Systems), Guardent, Foundstone und Bind View beteiligt, wie unsere Schwesterpublikation Computerwoche berichtet.

Bereits Mitte Oktober kritisierte Scott Culp, Chef des Microsoft Security Response Center, eine "Informations-Anarchie". Die zu schnelle Veröffentlichung von Sicherheitslücken seitens Sicherheitsfirmen und Hackern sei mitverantwortlich für die Ausbreitung von Internet-Würmern und Viren wie "Code Red" und "Nimda" ( wir berichteten ).

Sicherheitsexperten wie Elias Levy, Cheftechniker vom Unternehmen Security Focus, jedoch weisen darauf hin, die Gates-Company wolle nur über die vielen Fehler in ihrer Software hinwegtäuschen. Statt mehr in die Sicherheit der Microsoft-Software zu investieren, versucht das Unternehmen also diese geheim zu halten.

Die restriktive Informationspolitik gehe jedoch auf Kosten des Anwenders. Es bestehe die Gefahr, dass Microsoft Sicherheitslücken, die nicht bekanntgegeben werden, auch nicht beseitige. Sicherheitsfirmen und Softwarehersteller sollten statt dessen gemeinsam Bugs möglichst schnell beseitigen.

Scott Culp dagegen ist der Ansicht, dass Systemadministratoren keine Details zu wissen brauchen. Es reiche, wenn sie die Bugfixes einspielten.

Microsoft warnt vor ernster Sicherheitslücke im Internet Explorer (PC-WELT Online, 09.11.2001)

Microsoft schließt drei Sicherheitslücken im IE (PC-WELT Online, 11.10.2001)

0 Kommentare zu diesem Artikel
167344