Sie sind noch nicht angemeldet.
Registrieren
|
Zum Login
Coordinated Vulnerability Disclosure
Microsoft nimmt Security-Forscher und CERT-Teams in die Verantwortung
27.07.2010
| Redakteur: Stephan Augsten
 | |
|
Microsoft will das bestehende „Responsible Disclosure“-Modell zur Behebung von Sicherheitslücken durch eine sogenannte Coordinated Vulnerability Disclosure ersetzen. Der Software- und Betriebssystem-Hersteller erhofft sich dadurch strukturiertere und schnellere Reaktionen auf Zero-Day-Schwachstellen.
Microsoft stellt sich die Coordinated Vulnerability Disclosure als dreistufiges Modell vor:
Der erste Schritt „Keep it Private, Keep it Safe“ behandelt die Kommunkation des Problems: So müsse ein vertrauliche Reporting an den Hersteller in einem angemessen Zeitrahmen gewährleistet sein. Microsoft selbst verpflichtet sich zu zeitnahen Status-Updates.
Im zweiten Schritt „Hurry Up and Wait“ soll laut Microsoft eine Balance zwischen schnellen und qualitativen Lösungen gefunden werden. Hier seien interne wie unabhängige Sicherheitsforscher gemeinsam gefragt. Sofern der Entdecker einer Schwachstelle an einem Angriffsszenario arbeite, müsse er dem Hersteller aber die Chance geben, die Sicherheitslücke zu untersuchen und mögliche Sicherheitsmaßnahmen zu testen.
Der dritte Punkt „Coordinated Public Disclosure“ widmet sich der Anwender-Aufklärung über Sicherheitslücken. Dies geschehe laut Microsoft idealerweise gleichzeitig mit der Veröffentlichung eines Patches. Bei bestätigten In-the-Wild-Attacken müssen Anwender seitens Microsoft und der Schwachstellen-Finder hingegen umgehend über mögliche Workarounds aufgeklärt werden.
Microsoft will Proof-of-Concept-Code vermeiden
Nach Maßgabe des CVD verpflichten sich sowohl Hersteller als auch Security-Forscher letztlich dazu, eine Sicherheitsanfälligkeit innerhalb eines bestimmten Zeitrahmens zu schließen. In einem Blog-Eintrag verspricht Matt Thomlinson, Leiter der Microsoft-Division Security at Trustworthy Computing, dass der Software-Riese den Prozess so transparent wie möglich gestalten möchte.
„Das Responsibility-Prinzip ist immer noch unerlässlich“, schreibt Thomlinson im Microsoft Security Response Center. „Doch es handelt sich um eine geteilte Verantwortlichkeit über die Gemeinschaft der Sicherheitsforscher, IT-Security-Anbieter und anderen Software-Hersteller hinweg.“ Jedes Mitglied dieser Verteidigungstruppe trage dazu bei, die umfassende IT-Sicherheit in Computing-Umgebungen voranzutreiben.
Hierfür müssten Microsoft und andere Software-Hersteller die Verantwortung für eine klare Kommunikation mit den Sicherheitsforschern übernehmen, fordert Thomlinson. Im Gegenzug seien die Sicherheitsforscher dazu aufgefordert, im Rahmen ihrer Security Advisories möglichst wenig technische Details zur Schwachstelle zu nennen und auf die Bekanntgabe eines Proof-of-Concept-Angriffscodes zu verzichten.
Bewerten
|
Drucken
|
Versenden
|
als PDF
|
Kommentieren
|
Archivieren
Weitere Informationen erhalten Sie bei
Microsoft Deutschland GmbH
Unterschleißheim, Deutschland
Firmenprofil
Kontakt
Bewerten Sie diesen Artikel
WEITERE INHALTE ZUM THEMA
Security-Tools – Patch-Management mit Shavlik NetChk Protect: Geräte im Netzwerk auf Schwachstellen, Spyware und Malware scannen
Als einer der ersten Anbieter von Patch-Management-Tools besitzt Shavlik jahrelange Erfahrung in der Verteilung von Patches und Servicepacks. Die aktuelle Version von NetChk Protect unterstützt aber nicht nur die Suche nach fehlenden Patches. Gleichzeitig erkennt die Lösung Spam, Spyware und sonstige. SearchSecurity.de hat sich Shavlik NetChk Protect genauer angeschaut.
weiter
Proof-of-Concept-Exploit für Adobe-Schwachstelle in Malware-Toolkits: Spam-E-Mails mit bösartigen PDF-Dateien in-the-wild aufgetaucht
Proof-of-Concept-Exploit für Adobe-Schwachstelle in Malware-Toolkits: Spam-E-Mails mit bösartigen PDF-Dateien in-the-wild aufgetaucht
Die IBM-Division Internet Security Systems (ISS) warnt vor einer Spam-Welle, die auf die jüngst gepatchte JBIG2-Schwachstelle in Adobe-Lösungen abzielt. In ihrem Blog mutmaßt das ISS X-Force Research Team, dass der hierfür entwickelte Schadcode bereits in zahlreiche Malware-Toolkits integriert wurde.
weiter
Passive Patch-Politik: Tippingpoint Zero Day Initiative setzt halbjährige Update-Frist
Passive Patch-Politik: Tippingpoint Zero Day Initiative setzt halbjährige Update-Frist
Um eine schnelle Update-Politik bei IT-Anbietern zu erzwingen, setzt die Tippingpoint Zero Day Initiative für das Beheben von Schwachstellen künftig eine feste Deadline. Informiert Tippingpoint einen Hersteller über eine entdeckte Sicherheitslücke, dann hat dieser noch sechs Monate Zeit, um das Problem zu beheben.
weiter
Zugriffssteuerung Passwörter – die Schwachstelle in der Netzwerksicherheit
Zugriffssteuerung Passwörter – die Schwachstelle in der Netzwerksicherheit
Als einer der ersten Anbieter von Patch-Management-Tools besitzt Shavlik jahrelange Erfahrung in der Verteilung von Patches und Servicepacks. Die aktuelle Version von NetChk Protect unterstützt aber nicht nur die Suche nach fehlenden Patches. Gleichzeitig erkennt die Lösung Spam, Spyware und sonstige. SearchSecurity.de hat sich Shavlik NetChk Protect genauer angeschaut.
weiter
Die IBM-Division Internet Security Systems (ISS) warnt vor einer Spam-Welle, die auf die jüngst gepatchte JBIG2-Schwachstelle in Adobe-Lösungen abzielt. In ihrem Blog mutmaßt das ISS X-Force Research Team, dass der hierfür entwickelte Schadcode bereits in zahlreiche Malware-Toolkits integriert wurde.
weiter
Um eine schnelle Update-Politik bei IT-Anbietern zu erzwingen, setzt die Tippingpoint Zero Day Initiative für das Beheben von Schwachstellen künftig eine feste Deadline. Informiert Tippingpoint einen Hersteller über eine entdeckte Sicherheitslücke, dann hat dieser noch sechs Monate Zeit, um das Problem zu beheben.
weiter
Dieser Beitrag ist urheberrechtlich geschützt.
Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter
www.mycontentfactory.de
.
WEITERE INHALTE ZUM THEMA
Übersicht
Whitepaper
TOP 5 - MEIST GELESEN
Bookmarken Sie diesen Beitrag
Subscribe / Follow SearchSecurity.de
Copyright © 2010 Vogel Business Media
Mitdiskutieren