Update-Verteilung nicht über Windows:
Microsoft unterstützt Drittanbieter bei der Sicherheit

von Verteilung nicht über Windows-Update

Share
11.08.2008

Mit einem eigenen Vorhaben will Microsoft erreichen, dass die Sicherheitslücken in Windows-Software von Drittanbietern rascher geschlossen werden. Dabei will der Software-Anbieter diesen mit entsprechenden Informationen bei der Beseitigung helfen.

(Fortsetzung des Artikels von Seite 1)

Wenn ein Programm unter einer Windows-Software streikt, geben die Anwender meist zuerst Microsoft die Schuld daran. Doch wer es sich so einfach macht, hat selten die tatsächliche Ursache eines Problems erkannt. Denn gerade Microsoft [1] hat in den letzten Jahren ein vitales Interesse daran entwickelt, dass auch die Produkte von Drittanbietern reibungslos funktionieren. Mit dem »Microsoft Vulnerability Research«-Programm (MSVR) sucht das Unternehmen jetzt auch aktiv nach Schwachstellen in Fremdanwendungen. Hierzu bietet es auch Unterstützung bei der Behebung von deren Sicherheitslücken an. Microsoft unterrichtet die Softwarehersteller umgehend und vertraulich über eine entdeckte Schwachstelle. Außerdem stellt der Software-Hersteller alle Informationen zur Verfügung, die bei der Problemlösung hilfreich sein könnten.

Gemeinsam mit den Drittanbietern will Microsoft die Windows-Systeme sicherer machen.

Neben internen Recherchen im Rahmen des »Microsoft Security Development Lifecycle«-Prozesses (SDL) wird dabei auch auf Meldungen von außen zurückgegriffen. Dies war etwa zuletzt geschehen, als ein externer Hinweis auf eine Schwachstelle im Zusammenspiel von Apples Safari und Windows einging. In solchen Fällen koordiniert Microsoft mit dem betroffenen Unternehmen das Vorgehen und bietet Unterstützung bei der Lösung des Problems an. Um Schwachstellen beheben zu können, bevor Hacker sie ausnutzen, verpflichtet sich Microsoft während des kompletten Prozesses zu absoluter Vertraulichkeit. Die Details einer Schwachstelle werden von Microsoft deshalb erst nach Verfügbarkeit des Updates oder Patches veröffentlicht. Diese Kommunikationspolitik minimiert die in letzter Zeit zunehmend kritisierte Gefahr [2], dass Dritte zu früh publizierte Schwachstellen schnell zum Schaden der Kunden von Dritten ausnutzen.

Erst vergangene Woche hatte Microsoft zwei Programme vorgestellt, die auf ähnliche Ziele hinarbeiten. So stellt das Unternehmen seinen Partnern im Rahmen des »Microsoft Active Protections Program« (MAPP) Informationen zu geplanten Sicherheitsupdates künftig schon vorab zur Verfügung.

Um es den Anwendern gleichzeitig zu erleichtern, das tatsächliche Gefahrenpotenzial einzelner Schwachstellen einzuschätzen, bietet Microsoft außerdem künftig den »Exploitability Index« an. Dieser bewertet die Wahrscheinlichkeit der Entwicklung von Schadcode für die verschiedenen Sicherheitslücken. Das erleichtert den Anwendern, die Bedrohung für das System bereits vorab genauer einzuschätzen.

Die korrigierte Software von Drittanbietern zudem auch über die Windows-Update-Funktion bereitzustellen, ist jedoch nicht vorerst nicht geplant.

Mit freundlicher Genehmigung von InformationWeek [3]

[1] http://www.microsoft.de/
[2] http://informationweek.de/showArticle.jhtml?articleID=209900683
[3] http://www.informationweek.de/

Verwandte Artikel