MS will Sicherheitslücken geheim halten

Microsoft will in Zukunft detaillierte Informationen über Sicherheitslücken erst veröffentlichen, nachdem ein Patch bereits mindestens 30 Tage erhältlich ist. Zudem sollen Standards zum Publizieren von Software-Fehlern erarbeitet werden. Daran sind auch die US-Unternehmen ISS (Internet Security Systems), Guardent, Foundstone und Bind View beteiligt.

Schon Mitte Oktober kritisierte Scott Culp, Chef des Microsoft Security Response Center, eine "Informations-Anarchie". Die zu schnelle Veröffentlichung von Sicherheitslücken seitens Sicherheitsfirmen und Hackern sei mitverantwortlich für die Ausbreitung von Internet-Würmern und Viren wie Code Red oder Nimda, berichtet die Computerwoche.

Sicherheitsexperten wie Elias Levy, Cheftechniker des Unternehmens Security Focus, das den Fehlerreport Bugtraq herausgibt, meinen dagegen, die Gates-Company wolle nur über die vielen Fehler in ihrer Software hinwegtäuschen. Die restriktive Informationspolitik gehe jedoch auf Kosten des Anwenders. Es bestände die Gefahr, dass Microsoft Sicherheitslücken, die nicht bekannt gegeben werden, nicht beseitige. Sicherheitsfirmen und Software-Hersteller sollten stattdessen gemeinsam Bugs möglichst schnell beseitigen. Culp entgegnete dem, dass Systemadministratoren Details nicht zu wissen bräuchten. Es genüge, wenn sie die Bugfixes einspielten. (Computerwoche/ssp)