Der Sicherheitsspezialist TippingPoint setzt Softwareanbietern ab sofort eine Frist von sechs Monaten, um Schwachstellen zu schließen, die über seine Zero Day Initiative (ZDI) gemeldet wurden. Das kündigt TippingPoints Manager für Sicherheitsforschung, Aaron Portnoy, in einem Blogeintrag an.
Das zu Hewlett-Packard gehörende Unternehmen bezahlt Sicherheitsforscher über sein ZDI-Programm für die „verantwortungsvolle Veröffentlichung von Schwachstellen“. Die Informationen werden anschließend in die Intrusion-Prevention-Systeme des Unternehmens integriert und an die jeweiligen Hersteller weitergegeben, damit diese Patches entwickeln können.
Die Sechsmonatsfrist gelte auch für bereits gemeldete Fehler, schreibt Portnoy. Der erste Stichtag sei somit der 4. Februar 2011. Über eine mögliche Verlängerung werde von Fall zu Fall entschieden. Sollte ein Unternehmen keinen Patch bereitstellen, werde TippingPoint Details zu den Sicherheitslücken veröffentlichen und Nutzer mit Informationen versorgen, wie sie sich vor den Exploits schützen können. So will das Unternehmen Softwareanbieter dazu zwingen, Schwachstellen schneller zu schließen.
In der Vergangenheit hatten Softwareanbieter unbegrenzt Zeit, um die von TippingPoint gemeldeten Fehler zu beheben. Derzeit sind laut Portnoy über 120 Schwachstellen nicht behoben – 31 wurden bereits vor über einem Jahr entdeckt. Die älteste Lücke wurde laut einer Liste mit unveröffentlichten Sicherheitswarnungen am 22. Mai 2007, also vor 1156 Tagen, gemeldet.
Belohnungen für Schwachstellen sind bei Softwareherstellern umstritten. Google zahlt externen Entwicklern, die sicherheitsrelevanten Probleme melden, zwischen 500 und 3133,70 Dollar. Mozilla hatte im vergangenen Monat seine Prämie von 500 auf 3000 Dollar erhöht.
Zu den Gegnern von Belohnungsprogrammen gehört Microsoft. Ende Juli hatte der Konzern angekündigt, weiterhin nicht für Sicherheitslücken zu bezahlen. Die derzeitige Regelung, die Entdecker in den Security-Bulletins zu erwähnen, funktioniere sehr gut.
OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…