MÜNCHEN (COMPUTERWOCHE) - Microsoft will in Zukunft detaillierte Informationen über Sicherheitslücken erst mitteilen, wenn seit mindestens 30 Tagen ein Patch auf dem Markt ist. Außerdem sollen Standards zur Publizierung von Softwarefehlern erarbeitet werden. Daran sind auch die US-Unternehmen ISS (Internet Security Systems), Guardent, Foundstone und Bind View beteiligt.

Bereits Mitte Oktober kritisierte Scott Culp, Chef des Microsoft Security Response Center, eine "Informations-Anarchie". Die zu schnelle Veröffentlichung von Sicherheitslücken seitens Sicherheitsfirmen und Hackern sei mitverantwortlich für die Ausbreitung von Internet-Würmern und Viren wie "Code Red" und "Nimda" (Computerwoche online berichtete).

Sicherheitsexperten wie Elias Levy, Cheftechniker vom Unternehmen Security Focus, das den Fehlerreport Bugtraq herausgibt, meinen dagegen, die Gates-Company wolle nur über die vielen Fehler in ihrer Software hinwegtäuschen. Die restriktive Informationspolitik gehe jedoch auf Kosten des Anwenders. Es bestände die Gefahr, dass Microsoft Sicherheitslücken, die nicht bekanntgegeben werden, auch nicht beseitige. Sicherheitsfirmen und Softwarehersteller sollten statt dessen gemeinsam Bugs möglicht schnell beseitigen. Culp entgegnet dem, das Systemadministratoren keine Details zu wissen brauchten. Es reiche, wenn sie die Bugfixes einspielten. (lex)