Microsoft als Security-Ratgeber

Bis vor Kurzem war Microsoft nicht gerade als Saubermann in Sachen IT-Security bekannt. Unterdessen haben die Redmonder zumindest einen Teil ihres Augias-Stalls ausgemistet. Jetzt aber wollen sie auch Drittanbietern in Sachen Sicherheit assistieren.

Microsoft will künftig auch Drittfirmen bei der Jagd nach Softwarefehlern und Sicherheitslücken unterstützen.

Und zwar will Microsofts Sicherheitsteam Drittanbietern von Windows-Applikationen und -Add-ons beim Suchen und Beheben von Bugs in ihrer Software unter die Arme greifen.

Dabei will der Softwarekonzern im Rahmen seines Programms "Microsoft Vulnerability Research" (MSVR) künftig Fremdanwendungen, die auf Windows-Betriebssystemen laufen, nach Sicherheitslücken durchforsten und deren Hersteller bei der Fehlerbehebung unterstützen. Hierzu werde Microsoft die Softwareanbieter umgehend und vertraulich über aufgespürte Schwachstellen in Kenntnis setzen und ihnen alle zur Lösung des Problems hilfreichen Informationen zur Verfügung stellen, teilte die Firma mit. Dabei stützt sich das Unternehmen sowohl auf interne Recherchen im Rahmen seines SDL-Prozesses (Security Development Lifecycle) als auch auf externe Schwachstellenmeldungen - wie es Microsoft zufolge beispielsweise im Juni bei einem Fehler im Zusammenspiel zwischen Apples Browser Safari und Windows der Fall gewesen war.

Mit der jüngsten Sicherheitsinitiative will Microsoft den zunehmenden Angriffen auf Anwendungen Rechnung tragen, die das Betriebssystem als primäres Einfallstor für Angreifer allmählich ablösen. Für den gesamten Prozess sagt Microsoft absolute Vertraulichkeit zu - so garantiert der Softwarekonzern, Schwachstellendetails nicht publik zu machen, bevor entsprechende Security-Updates verfügbar sind.

Bereits zuvor hatte das Unternehmen zwei Sicherheitsinitiativen vorgestellt, mit denen es den eigenen Patches mehr Transparenz verleihen will: Über das "Microsoft Active Protections Program" (MAPP) sollen Hersteller von Sicherheitssoftware künftig vorab Details über die zu stopfenden Lecks in Microsoft-Produkten erhalten, um ihre Programme schneller anpassen zu können. Der neue "Exploitability Index" wiederum soll Anwendern demonstrieren, wie wahrscheinlich das Erscheinen von Exploits für jeden publizierten Bug ist, und so die Priorisierung der Patches erleichtern.