Der Sicherheitsspezialist TippingPoint setzt Softwareanbietern ab sofort eine Frist von sechs Monaten, um Schwachstellen zu schließen, die über seine Zero Day Initiative (ZDI) gemeldet wurden. Das kündigt TippingPoints Manager für Sicherheitsforschung, Aaron Portnoy, in einem Blogeintrag an.
Das zu Hewlett-Packard gehörende Unternehmen bezahlt Sicherheitsforscher über sein ZDI-Programm für die „verantwortungsvolle Veröffentlichung von Schwachstellen“. Die Informationen werden anschließend in die Intrusion-Prevention-Systeme des Unternehmens integriert und an die jeweiligen Hersteller weitergegeben, damit diese Patches entwickeln können.
Die Sechsmonatsfrist gelte auch für bereits gemeldete Fehler, schreibt Portnoy. Der erste Stichtag sei somit der 4. Februar 2011. Über eine mögliche Verlängerung werde von Fall zu Fall entschieden. Sollte ein Unternehmen keinen Patch bereitstellen, werde TippingPoint Details zu den Sicherheitslücken veröffentlichen und Nutzer mit Informationen versorgen, wie sie sich vor den Exploits schützen können. So will das Unternehmen Softwareanbieter dazu zwingen, Schwachstellen schneller zu schließen.
In der Vergangenheit hatten Softwareanbieter unbegrenzt Zeit, um die von TippingPoint gemeldeten Fehler zu beheben. Derzeit sind laut Portnoy über 120 Schwachstellen nicht behoben – 31 wurden bereits vor über einem Jahr entdeckt. Die älteste Lücke wurde laut einer Liste mit unveröffentlichten Sicherheitswarnungen am 22. Mai 2007, also vor 1156 Tagen, gemeldet.
Belohnungen für Schwachstellen sind bei Softwareherstellern umstritten. Google zahlt externen Entwicklern, die sicherheitsrelevanten Probleme melden, zwischen 500 und 3133,70 Dollar. Mozilla hatte im vergangenen Monat seine Prämie von 500 auf 3000 Dollar erhöht.
Zu den Gegnern von Belohnungsprogrammen gehört Microsoft. Ende Juli hatte der Konzern angekündigt, weiterhin nicht für Sicherheitslücken zu bezahlen. Die derzeitige Regelung, die Entdecker in den Security-Bulletins zu erwähnen, funktioniere sehr gut.
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…