Black Hat

Microsoft assistiert Softwareanbietern bei der Schwachstellenhygiene

11.08.2008
Von Katharina Friedmann 
Microsofts Sicherheitsteam will Drittanbietern von Windows-Applikationen und -Add-ons beim Suchen und Beheben von Bugs in ihrer Software unter die Arme greifen.

Im Rahmen seines Programms "Microsoft Vulnerability Research" (MSVR) will der Softwarekonzern künftig Fremdanwendungen, die auf Windows-Betriebssystemen laufen, nach Sicherheitslücken durchforsten und deren Hersteller bei der Fehlerbehebung unterstützen. Hierzu werde Microsoft die Softwareanbieter umgehend und vertraulich über aufgespürte Schwachstellen in Kenntnis setzen und ihnen alle zur Lösung des Problems hilfreichen Informationen zur Verfügung stellen, teilte die Gates-Company mit. Dabei stützt sich das Unternehmen sowohl auf interne Recherchen im Rahmen seines SDL-Prozesses (Security Development Lifecycle) als auch auf externe Schwachstellenmeldungen - wie es Microsoft zufolge beispielsweise im Juni bei einem Fehler im Zusammenspiel zwischen Apples Browser Safari und Windows der Fall gewesen war.

Mit der jüngsten Sicherheitsinitiative will Microsoft den zunehmenden Angriffen auf Anwendungen Rechnung tragen, die das Betriebssystem als primäres Einfallstor für Angreifer allmählich ablösen. Für den gesamten Prozess sagt Microsoft absolute Vertraulichkeit zu - so garantiert der Softwarekonzern, Schwachstellendetails nicht publik machen, bevor entsprechende Security-Updates verfügbar sind.

Bereits in der vergangenen Woche hatte das Unternehmen auf der Sicherheitskonferenz Black Hat zwei Sicherheitsinitiativen vorgestellt, mit denen das Unternehmen den eigenen Patches mehr Transparenz verleihen will: Über das "Microsoft Active Protections Program" (MAPP) sollen Sicherheitssoftware produzierende Industriepartner des Konzerns künftig vorab Details über die zu stopfenden Lecks in Microsoft-Produkten erhalten, um ihre Schutzlösungen schneller anpassen zu können. Der neue "Exploitability Index" wiederum soll Anwendern demonstrieren, wie wahrscheinlich das Erscheinen von Exploits für jeden publizierten Bug ist, und so die Priorisierung der Patches erleichtern.