Auch Apps für die Kacheloberfläche in Windows 8 oder für Windows-basierte Smartphones können Sicherheitslücken enthalten. Damit diese Lücken möglich schnell geschlossen werden, hat Microsoft eine neue Richtlinie verabschiedet. Diese setzt App-Entwicklern eine großzügig bemessene Frist von 180 Tagen, um eine fehlerbereinigte Fassung ihres Programms bereit zu stellen. Wird diese nicht eingehalten, behält sich Microsoft vor die App aus dem Angebot zu nehmen. Die Schonfrist setzt allerdings voraus, dass es keine Angriffe auf eine solche Schwachstelle gibt. In dem Fall könnte Microsoft das Programm auch vor Ablauf der sechs Monate aus dem jeweilige App Store entfernen. Die Fristsetzung gilt zudem nur für Lücken, deren Risikopotenzial Microsoft als “hoch” oder “kritisch” einstuft – analog zur Risikobewertung bei Lücken in Microsoft-Produkten. Bislang ist laut Microsoft noch kein Fall eingetreten, in dem ein App-Programmierer auch nur näherungsweise so lange benötigt hätte, um eine Sicherheitslücke zu schließen. Microsoft behält sich auch vor von dieser Fristenregelung abzuweichen, falls etwa mehrere App-Entwickler betroffen sind oder die Schwachstelle nicht in der App selbst, sondern in der Architektur steckt, auf der eine Anwendung aufbaut. Die Regelung betrifft Apps, die im Windows Store, Windows Phone Store, Office Store oder im Azure Marketplace angeboten werden. Sie gilt auch für Microsofts eigene Apps. Eine vergleichbare Richtlinie gibt es für Google Play oder Apples App Store bislang nicht.
News
Schonfrist für Lücken in Windows-8-Apps
Microsoft hat in dieser Woche eine neue Richtlinie bekannt gegeben, die den Umgang mit Sicherheitslücken in Apps regelt. Sie setzt eine Frist für die Beseitigung einer Schwachstelle. Dies betrifft Apps im Windows Store, Windows Phone Store, Office Store und im Azure Marketplace.

Image: fz