Microsoft hilft anderen Herstellern beim Suchen und Schließen von Lücken
Microsofts Vulnerability Research Program (MSVR) dient der Suche nach Schwachstellen in Fremdanwendungen. Herstellern will man Unterstützung bei der Behebung der Lücken anbieten. Microsoft will bereits Apple bei einer Lücke in Safari geholfen haben.
- Daniel Bachfeld
Im Rahmen des neuen Microsoft Vulnerability Research Program (MSVR) wollen die Redmonder aktiv nach Schwachstellen in Fremdanwendungen suchen und Unterstützung bei der Behebung der Sicherheitslücken anbieten. Nach Angaben des Software-Konzerns wolle man den jeweiligen Hersteller der Software vertraulich über eine entdeckte Schwachstelle informieren und ihm alle Informationen zur Verfügung stellen, um das Problem zu lösen.
Microsoft will damit auf die zunehmenden Angriffe auf Anwendungen reagieren, die mittlerweile das Betriebssystem Windows als Hauptziel abgelöst haben sollen. Durch eine kritische Lücke in einer Anwendung könne ein Angreifer aber dennoch das ganze System unter seine Kontrolle bringen.
Neben eigener Analysen im Rahmen des Microsoft Security Development Lifecycle (SDL) soll aber auch auf Meldungen von außen zurückgegriffen werden, wie es laut Microsoft zuletzt bei der Safari Carpet Bomb der Fall gewesen sein soll – einer Schwachstelle, die aus dem Zusammenspiel von Apples Safari und Windows hervorging. Wie genau Microsoft Apple bei der Entwicklung eines Safari-Updates zur Seite stand, ist nicht überliefert. Der Hersteller aus Cupertino beseitigte das Problem jedoch, indem Safari künftig keine heruntergeladenen Seiten mehr auf dem Desktop ablegt.
Während des kompletten Prozesses verpflichtet sich Microsoft nach eigenen Angaben zu absoluter Vertraulichkeit. Die Details der Schwachstelle werden von Microsoft deshalb erst nach Verfügbarkeit des Updates veröffentlicht. Diese Kommunikationspolitik minimiert nach Ansicht der Redmonder die Gefahr, dass die Schwachstellen zum Schaden der Kunden von Dritten ausgenutzt werden.
Kurz zuvor hat Microsoft schon das Microsoft Active Protections Program (MAPP) angekündigt, durch den Sicherheitsdienstleister künftig mit detaillierten Vorabinformationen zu kommenden Sicherheits-Updates versorgt werden sollen, damit diese ihre Kunden schneller und zuverlässiger schützen können. Ab Oktober will man zudem für jeden Patch-Day einen Exploitability Index veröffentlichen, der angeben soll, wie wahrscheinlich das Auftauchen für einen Exploit zu einer Lücke ist. Kunden sollen damit besser das Risiko einschätzen können und gegebenenfalls die Verteilung von Updates im Unternehmen priorisieren.
Siehe dazu auch:
(dab)
