MS will Sicherheitslücken geheim halten
Microsoft will in Zukunft detaillierte Informationen über Sicherheitslücken erst mitteilen, wenn seit mindestens 30 Tagen ein Patch erhältlich ist.
Außerdem sollen Standards zur Publizierung von Softwarefehlern erarbeitet werden.
Daran sind auch die US-Unternehmen ISS [Internet Security Systems], Guardent, Foundstone und Bind View beteiligt.
Internet Security SystemsAnarchie
Bereits Mitte Oktober kritisierte Scott Culp, Chef des Microsoft Security Response Center, eine "Informations-Anarchie".
Die zu schnelle Veröffentlichung von Sicherheitslücken seitens Sicherheitsfirmen und Hackern ist demnach mitverantwortlich für die Ausbreitung von Internet-Würmern und Viren wie Code Red oder Nimda.
Microsoft fordert SelbstzensurVertuschung
Sicherheitsexperten wie Elias Levy, Cheftechniker vom Unternehmen Security Focus, das den Fehlerreport Bugtraq herausgibt, meinen dagegen, die Gates-Company wolle nur über die vielen Fehler in ihrer Software hinwegtäuschen.
Die restriktive Informationspolitik gehe jedoch auf Kosten des Anwenders. Es bestände die Gefahr, dass Microsoft Sicherheitslücken, die nicht bekannt gegeben werden, auch nicht beseitige.
Sicherheitsfirmen und Softwarehersteller sollten statt dessen gemeinsam Bugs möglicht schnell beseitigen. Culp entgegnet dem, das Systemadministratoren keine Details zu wissen brauchten. Es reiche, wenn sie die Bugfixes einspielten.
Bugtraq