Impressum Kontakt Media

Erweiterte Suche

Sie befinden sich hier: Themen > Plattformsicherheit > Schwachstellen-Management

Coordinated Vulnerability Disclosure

Microsoft startet Schwachstellen-Jagd – Bugs in Google Chrome und Opera

26.04.2011 | Redakteur: Stephan Augsten

PDF | Weiterempfehlen | Merken | Drucken

Microsoft meldet künftig auch gefundene Sicherheitslücken in Drittanbieter-Software.

„Von der Philosophie zur Praxis“, unter diesem Motto setzt Microsoft die Richtlinie zur koordinierten Schwachstellen-Aufdeckung (Coordinated Vulnerability Disclosure, CVD) in die Tat um. Der Software-Riese will demnach nicht mehr nur die Sicherheit eigener Produkte erhöhen, sondern Fehler in Drittanbieter-Lösungen melden und Gegenmaßnahmen koordinieren.

Microsoft verpflichtet sich im Rahmen der Coordinated Vulnerability Disclosure (CVD) dazu, anderen Herstellern beim Finden und Beheben von Software-Schwachstellen zu helfen. Damit greift die Verhaltensrichtlinie, die Microsoft im Juli 2010 als Ersatz für das „Responsible Disclosure“-Modell angekündigt hatte (SearchSecurity.de berichtete).

„Wir fragten uns wie Koordination und Kollaboration dabei helfen können, Sicherheitsproblemen so zu begegnen, dass Kunden möglichst geringen Risiken und Störungen ausgesetzt sind“, schreibt Matt Thomlinson von Trustworthy Computing Security im Microsoft Security Response Center.

Das Dokument „Coordinated Vulnerability Disclosure at Microsoft“ regelt bis ins kleinste Detail, wie Mitarbeiter der Software-Schmiede mit Schwachstellen in Drittanbieter-Produkten umgehen sollen. Alle erforderlichen Schritte im Reaktionsprozess werden genau umrissen, von der Schwachstellen-Dokumentation bis hin zur Lösungsfindung.

Zwei Schwachstellen-Meldungen von Microsoft

Alle Bemühungen sind Teil des Programms zur Schwachstellen-Forschung (Microsoft Vulnerability Research, MSVR), die ersten beiden Sicherheitslücken wurden vergangene Woche als MSVR Advisories öffentlich bekanntgegeben.

Die erste Warnung MSVR11-001 bezieht sich auf Google Chrome. Offensichtlich verweist der Browser fehlerhaft auf bereits freigegebenen Speicher. Ein Angreifer könnte versuchen, das Programm zum Absturz oder Einfrieren zu bringen, und anschließend bösartigen Code innerhalb der noch aktiven Chrome-Sandbox ausführen.
Das Security Advisory MSVR11-002 betrifft neben Chrome auch den Opera-Browser. Microsoft meldet in diesem Falle eine fehlerhafte HTML-5-Implementierung, die zur Offenlegung privater Informationen führen kann. Allerdings erlaube es die Schwachstelle einem Angreifer nicht, eigenen Code auf der Maschine auszuführen oder die Benutzerrechte anzuheben.

Genau wie es die CVD-Richtlinie vorgibt, wurden die Hersteller bereits über die Schwachstelle informiert. In den kommenden Tagen und Wochen könnte sich bereits zeigen, wie Microsofts mit betroffenen Herstellern – wie in diesem Fall Google und Opera – an der Fehlerbehebung arbeitet.

Kommentar zu diesem Artikel abgeben

köstlich - der Hersteller des nachweislich fehlerhaftesten Browsers trägt etwas zur allgemeinen... lesen
posted am 26.04.2011 um 11:34 von Unregistriert

Mitdiskutieren

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2051064)

Für Sie ausgewählt

Cyber - Clarke - Schutzprofile - Fortinet - Sicherheitsupdates

#Smartphone-Nutzer aufgepasst: Einige #Mobilfunk-#Provider haben Probleme mit ihrer #Firewall-Sicherheit http://t.co/Eh5rnOcM 23 hours ago
Sicherheitscheck fürs #Smartphone: #Fraunhofer #AISEC entwickelt #Schwachstellen-Analyse für #Android http://t.co/X1ZNdmSN @FraunhoferAISEC 23 hours ago
#PCI Council drängt auf #P2P-Verschlüsselung für mobile #Bezahlsysteme http://t.co/y3IrwXNt @PCISSC 1 day ago
Nachrichten-#Verschlüsselung bei #Twitter und #Facebook - Leitfaden für Scrambls http://t.co/xRVailPe @scramblsUSA @WaveSystems 2 days ago

SEARCHSECURITY AUF FACEBOOK

NEUES AUS DEM FORUM

Coordinated Vulnerability Disclosure

Microsoft startet Schwachstellen-Jagd – Bugs in Google Chrome und Opera

Zwei Schwachstellen-Meldungen von Microsoft

Microsoft Patchday September 2011

Wichtige Sicherheitsupdates für Windows, Office, Excel und SharePoint

Im Test: Fortigate-60B von Fortinet

UTM-Appliance sorgt für Sicherheit in kleinen Netzen

RSA Conference Europe 2010

Top-Sprecher und Top-Inhalte auf der RSA Conference Europe

Coordinated Vulnerability Disclosure

Microsoft nimmt Security-Forscher und CERT-Teams in die Verantwortung

Exploit-Informationen zu verkaufen

Bug Hunting – auf der Jagd nach Software-Fehlern, Ruhm und Geld

vShield 5-Endpoint in den Lösungen der Sicherheitsanbieter – Teil 2

Endpoint-Schutz für VMs

Forschungsprojekt zur IT-Sicherheit bei Cloud und Mobile Computing

Fuzzing erkennt Sicherheitslücken

Microsoft stellt die drei meistgenutzten Schwachstellen

Top 3 der Sicherheitslücken im April

Cybercrime Trends Report

The Current State of Cybercrime and What to Expect in 2012

eGRC-Lösungen

ISMS, IT-Risikomanagement und Business Continuity Management

Security-Management

Ein integrierter Ansatz für das Managen von Risiken

Ein Weg zur datenbasierten IT-Sicherheit

SBIC-Bericht: Empfehlungen von Führungskräften der "Global 1000" Unternehmen

Getting Ahead of Advanced Threats

Achieving Intelligence-Driven Information Security

Aslr

19.05.2012, 14:06 Uhr: nicht registrierter User

Kommentar zu: BlackBerry mit NFC öffnet Türen

18.05.2012, 08:20 Uhr: Peter Schmitz

RE(9): Scrambls - Verschlüsselung für Social Media, Blogs und Foren

14.05.2012, 09:23 Uhr: nicht registrierter User

RE(20): TrueCrypt-Verschlüsselung bringt trügerische Sicherheit

12.05.2012, 08:43 Uhr: nicht registrierter User

Kommentar zu: Security-Virtualisierung trifft auf UTM-Firewalls

04.05.2012, 10:22 Uhr: nicht registrierter User