Adobe schließt sich Microsofts Sicherheitspolitik an

Adobe will schon bald Microsofts Informationspolitik übernehmen, was die Kommunikation gegenüber Antivirenherstellern bezüglich Sicherheitslücken angeht, für die noch kein Patch existiert. Das erklärten beide Hersteller gestern auf der Black-Hat-Konferenz.

Microsoft hatte 2008 sein Microsoft Active Protections Program (MAPP) ins Leben gerufen und seitdem Informationen an die Sicherheitsfirmen weitergegeben, bevor Updates verfügbar gemacht wurden, um durch Antimalwareprogramme einen schnellen Schutz zu ermöglichen.

Laut Microsoft habe MAPP dazu beigetragen, das „Verwundbarkeitszeitfenster“ in einigen Fällen um mehr als 75 Prozent zu verkürzen. Dieser Erfolg habe Adobe dazu veranlasst, dem Beispiel Microsofts ab Herbst zu folgen, sagte Brad Arkin, Direktor für Produktsicherheit und Datenschutz gegenüber CNET.com. „Es ist für uns sinnvoller, mit Microsoft zusammenzuarbeiten, als jede Menge zusätzliche Arbeit darin zu investieren, das Rad neuzuerfinden.“, so Arkin. Adobe werde seine Informationen an dieselben MAPP-Partner wie Microsoft weiterleiten und dabei dasselbe Format und dieselbe Infrastruktur nutzen.

Microsoft wird unterdessen noch diese Woche das „Advanced Mitigation Experience Toolkit“ ankündigen, das es Anwendungen von Drittherstellern und älteren Windows-Versionen erlaubt, Sicherheitstechnologien wie Address Space Layout Randomization (ASLR) und Data Execution Prevention (DEP) zu nutzen. Das sagte Mike Reavey, Direktor des Microsoft Security Response Centers.

Darüber hinaus befürwortet Microsoft jetzt eine Strategie der „koordinierten Informationsweitergabe“ (Coordinated Vulnerability Disclosure Policy, CVD), die bei Sicherheitslücken angewandt werden soll, die von unabhängigen Forschern entdeckt worden sind. Die Forscher sollen mit Microsoft zusammenarbeiten, wenn bereits Schadprogramme im Umlauf sind, bevor Details veröffentlicht werden. Für ihre Arbeit will Microsoft anders als Google und Mozilla den Forschern keine Belohnung zahlen.

Microsoft streitet derzeit mit Google, wie man mit ungepatchten Lücken umgehen soll, die bereits von Cyberkriminellen ausgenutzt werden. Ausgelöst wurde die Diskussion dadurch, dass Google-Sicherheitsforscher Tavis Ormandy Details einer Zero-Day-Lücke in der Windows-Funktion „Hilfe und Support“ (Help and Security Center) veröffentlicht hatte, ohne Microsoft Zeit zu geben, einen Patch zu entwickeln. Google will eine Obergrenze von 60 Tagen festsetzen. Danach sollen die technischen Details einer Lücke auf jeden Fall veröffentlicht werden.

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago