Microsoft überarbeitet Sicherheitslücke Ansatz

Microsoft hat einen neuen Sicherheitsdienst, der eine sofortige Reaktion bietet, wenn Forscher ungepatchte Sicherheitslücken veröffentlichen.

Das Pilotprogramm , die vom Microsoft Security Response Center (MSRC) betrieben werden und einfach Microsoft Security Advisories heißen, ergänzt die monatlich geplanten Security Bulletins, die normalerweise von Patches begleitet werden.

Im Gegensatz zu den Bulletins müssen Advisories jedoch keinen festgelegten Zeitplan erfüllen Stattdessen so schnell wie möglich nach der Offenlegung einer Schwachstelle.

Die Advisories werden verwendet, um Probleme zwischen den monatlichen Bulletins zu beheben, einschließlich Offenlegung von Sicherheitslücken und Phishing-Betrug.

Die Advisories "werden Sicherheitsänderungen beheben, die möglicherweise keine erfordern Sicherheitsbulletin, aber dies kann sich immer noch auf die allgemeine Sicherheit der Kunden auswirken ", sagt Nick McGrath, Microsofts Leiter der Plattformstrategie. "Kunden haben uns mitgeteilt, dass sie eine genauere und rechtzeitige Anleitung zu Sicherheitsproblemen wünschen."

In der Vergangenheit hat Microsoft seine ausführlichen Kommentare auf die monatlichen Bulletins beschränkt und auf andere Probleme mit kurzen Aussagen reagiert. Eine spürbare Verschiebung kam letzten Monat, als MSRC-Programmmanager Stephen Toulouse einen MSRC-Blog schrieb, um einen Fehler zu diskutieren, der in Windows 2000-Systemen offenbart wurde. In der Regel hat Microsoft solche Diskussionen verwendet, um den Schweregrad nicht behobener Fehler herunterzuspielen.

Das Beratungssystem ist die neueste Entwicklung in einer anhaltenden Debatte darüber, wie Softwareanbieter und Sicherheitsforscher den Bedarf der Benutzer an Sicherheitslücken mit dem Bedarf in Einklang bringen sollten für Diskretion. Microsoft hat Sicherheitsforscher kritisiert, um Fehler zu diskutieren, bevor ein Patch veröffentlicht wurde. Viele Forscher haben ihrerseits angegeben, dass sie nur Informationen zu Schwachstellen offenlegen, wenn sie Microsoft nicht dazu bewegen können, Maßnahmen zu ergreifen.