Adobe schließt sich Microsofts Sicherheitspolitik an

Adobe will schon bald Microsofts Informationspolitik übernehmen, was die Kommunikation gegenüber Antivirenherstellern bezüglich Sicherheitslücken angeht, für die noch kein Patch existiert. Das erklärten beide Hersteller gestern auf der Black-Hat-Konferenz.

Microsoft hatte 2008 sein Microsoft Active Protections Program (MAPP) ins Leben gerufen und seitdem Informationen an die Sicherheitsfirmen weitergegeben, bevor Updates verfügbar gemacht wurden, um durch Antimalwareprogramme einen schnellen Schutz zu ermöglichen.

Laut Microsoft habe MAPP dazu beigetragen, das „Verwundbarkeitszeitfenster“ in einigen Fällen um mehr als 75 Prozent zu verkürzen. Dieser Erfolg habe Adobe dazu veranlasst, dem Beispiel Microsofts ab Herbst zu folgen, sagte Brad Arkin, Direktor für Produktsicherheit und Datenschutz gegenüber CNET.com. „Es ist für uns sinnvoller, mit Microsoft zusammenzuarbeiten, als jede Menge zusätzliche Arbeit darin zu investieren, das Rad neuzuerfinden.“, so Arkin. Adobe werde seine Informationen an dieselben MAPP-Partner wie Microsoft weiterleiten und dabei dasselbe Format und dieselbe Infrastruktur nutzen.

Microsoft wird unterdessen noch diese Woche das „Advanced Mitigation Experience Toolkit“ ankündigen, das es Anwendungen von Drittherstellern und älteren Windows-Versionen erlaubt, Sicherheitstechnologien wie Address Space Layout Randomization (ASLR) und Data Execution Prevention (DEP) zu nutzen. Das sagte Mike Reavey, Direktor des Microsoft Security Response Centers.

Darüber hinaus befürwortet Microsoft jetzt eine Strategie der „koordinierten Informationsweitergabe“ (Coordinated Vulnerability Disclosure Policy, CVD), die bei Sicherheitslücken angewandt werden soll, die von unabhängigen Forschern entdeckt worden sind. Die Forscher sollen mit Microsoft zusammenarbeiten, wenn bereits Schadprogramme im Umlauf sind, bevor Details veröffentlicht werden. Für ihre Arbeit will Microsoft anders als Google und Mozilla den Forschern keine Belohnung zahlen.

Microsoft streitet derzeit mit Google, wie man mit ungepatchten Lücken umgehen soll, die bereits von Cyberkriminellen ausgenutzt werden. Ausgelöst wurde die Diskussion dadurch, dass Google-Sicherheitsforscher Tavis Ormandy Details einer Zero-Day-Lücke in der Windows-Funktion „Hilfe und Support“ (Help and Security Center) veröffentlicht hatte, ohne Microsoft Zeit zu geben, einen Patch zu entwickeln. Google will eine Obergrenze von 60 Tagen festsetzen. Danach sollen die technischen Details einer Lücke auf jeden Fall veröffentlicht werden.

ZDNet.de Redaktion

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

2 Stunden ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

2 Stunden ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

9 Stunden ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

1 Tag ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

1 Tag ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

1 Tag ago