Microsoft (Börse Frankfurt: MSF) will bei der „Trusted Computing Conference“ in Mountain View in dieser Woche sein angeschlagenes Image als Unternehmen mit sicherer Software aufpolieren. Dabei will der Konzern auch versuchen, die Publikation von zu vielen Details bei der Veröffentlichung von Sicherheitslöchern durch unabhängige Dritte zu verhindern. Microsoft erhielte dadurch Zeit für die Programmierung eines Patches und könnte vor den Hackern aktiv werden.
In einem kürzlich veröffentlichten Report rügte der Chef des Security Response Centers bei Microsoft, Scott Culp, Entwickler und Hacker, die Code-Schnipsel zur Veranschaulichung eines Sicherheitsloches veröffentlichen. In dem Essay schrieb Culp: „Es ist höchste Zeit, dass die Sicherheits-Community aufhört, Blaupausen zum Bau dieser Waffen zu veröffentlichen.“
Viele glauben, dass ein solcher Vorgang der Grund für Code Red im Juli war, als über 360.000 Computer mit IIS in die Knie gingen. Eeye Digital Security veröffentlichte nicht nur das Sicherheitsloch und arbeitete gemeinsam mit Microsoft an einem Patch, sondern publizierte auch Details über das Problem. „Microsoft wird für seinen Teil mit den Branchenführern zusammen arbeiten, um im Laufe der nächsten Monate einen Konsens zu dem Thema zu erarbeiten“, schrieb Culp.
Allerdings behaupten andere Stimmen, mit diesem Vorgehen versuche Microsoft nur, das öffentliche Aufsehen um die Probleme möglichst gering zu halten. „Diese Konferenz ist ein Hinterhalt, um Microsofts Credo von der begrenzten Veröffentlichung durchzudrücken. Die Mehrheit der betroffenen Entwickler wird den Entwurf nicht zu Gesicht kriegen und keine Details sehen“, so der Forschungs-Chef der Sicherheitsfirma Trusecure, Russ Cooper.
Laut Cooper hat Microsoft zuletzt einen Patch für XP veröffentlicht, der nach Firmenaussage zwei Probleme beheben sollte, in Wirklichkeit jedoch sechs Löcher stopfte.
Kontakt:
Microsoft, Tel.: 089/31760 (günstigsten Tarif anzeigen)
Neueste Kommentare
4 Kommentare zu Microsoft will Software sicherer machen
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Kompromiß für beide
**Jede** Software, egal ob Windows, Linux, Star- oder MS-Office usw. hat heute eine derart hohe Komplexität erreicht, so daß Fehlerlosigkeit von Anfang an in absehbarer Zeit kaum realistisch sein dürfte. Das entbindet den Hersteller aber natürlich nicht davon, diese Fehler zu beseitigen. Das trifft nicht nur Microsoft, der Marktführer ist aber natürlich hier ganz besonders in der Pflicht. In beinahe jedem Bereich ist es aber üblich, daß der Hersteller oder Händler Gelegenheit zur Nachbesserung haben muß.
Ein Kompromiß, der sowohl Herstellern als auch Anwendern hilft, wäre etwa folgender: Wer eine Sicherheitslücke entdeckt, die offensichtlich noch nicht bekannt ist, meldet diese zuerst an den Hersteller. Dabei setzt er/sie einen Termin fest, zu dem man das Problem veröffentlichen wird. Damit hat der Hersteller eine faire Gelegenheit, passend zu reagieren und die Masse der Normalanwender wird in dieser Zeit nicht durch Trittbrettfahrer gefährdet. Durch die angedrohte Veröffentlichung wird aber einer Vertuschung vorgebeugt.
Natürlich könnte nun der Hersteller versuchen, den Entdecker der Sicherheitslücke unter Druck zu setzen. Das trifft aber wohl eher auf Einzelpersonen zu. Die müssen ja aber nicht selbst auf den Hersteller zugehen, sondern könnten sich z.B. an eine seriöse (möglichst fachnahe) Verbrauchervertretung wenden (z.B. an die Redaktion einer seriösen Computerzeitschrift, an eine Uni usw.).
Qualitätsbewusstsein
Scott Culp schreibt: "Es ist höchste Zeit, dass die Sicherheits-Community aufhört, Blaupausen zum Bau dieser Waffen zu veröffentlichen."
Ich denke, es ist höchste Zeit, dass sich auch Softwarehersteller ihrer Verantwortung bewußt werden. Bei gründlicherer Qualitätsprüfung wären die Überlegungen Culp’s überflüssig.
Microsoft hat alle Möglichkeiten, seine Software sicher zu machen – bereits vor der Auslieferung.
Doch so lange sich die Userschaft dem Upgradewahn hingibt, wird es ein leichtes sein, mit ‚halbfertigen‘ Betriebssystemen Marktanteile zu behaupten.
Microsoft will Vertuschung und Zensur!
Meiner Meinung würde eine Vertuschung bzw. Zensur von Sicherheitslücken nur dazu führen, daß Microsoft gar nicht oder erst spät reagiert. Oder mehr Zeit hat, alle Sicherheitspatches und Bugfixes zu sammeln und dann damit Geld zu verdienen – als Second Editon.
Meiner Meinung nach sollte M$ wo es nur geht an den Pranger gestellt werden. Immer eine Gegenüberstellung von Werbeaussage und tatsächlichem Verhalten bewegt etwas.
Warten wir erstmal ab, bis Bill zum Präsidenten gewählt wird… bzw sich das Amt kauft.
Die Überschrift ist falsch gewählt…
…es muss heißen, M$ versucht, die immensen Sicherheitslücken seiner Software zu verbergen.