[de]

Microsoft hat die Strategie was Sicherheitslücken angeht geändert.

Auf der TechNet Seite vom 22.July 2010 beschreibt MS um was es genau geht.

Leider fehlt aber der Hinweis wie lange Microsoft gedenkt an den Sicherheitslücken herumzuflicken bevor die Öffentlichkeit über die Löcher informiert wird. Bis jetzt ist es so das eine Microsoft Sicherheitslücke erst der Öffentlichkeit gelangt wenn Microsoft dazu den passenden Flicken liefern kann. So kommt es dann auch schon mal vor das ein Sicherheitsloch ein paar Wochen oder Monate nur den Hacker’n, nicht aber den Benutzern oder Sicherheits-Software-Hersteller bekannt ist.

Schön wäre gewesen wenn die Sicherheitsforscher die Probleme SOFORT bekannt geben würden/dürfen. Leider ist Microsoft mit dieser Strategie nicht alleine auf dem Softwaremarkt, vielmehr ist es die Regel das Sicherheitslöcher der breiten Öffentlichkeit unbekannt sind bevor nicht ein Patch dazu geliefert werden kann. Open Source Software ist hier eine Ausnahme, normalerweise wissen wir es hier schneller wenn eine Sicherheitslücke besteht.

Wenn sich ein paar Sicherheitsforscher zusammen tun wollen, ich biete gerne Platz auf meiner Website um alle Sicherheitslöcher SOFORT der Öffentlichkeit bekannt zu geben,,,,oder vielleicht besuchen wir einfach die einschlägigen Hacker-Websites um informiert zu bleiben 😉

[/de]

[en]

Microsoft has release a new statement regarding the Coordinated Vulnerability Disclosure.

What’s missing is the fact how long we must wait until we know about the vulnerability’s. Normally we know it then when Microsoft got a patch to deliver to us via the Update Service….so sometimes we got to wait for weeks or even month for the information about a vulnerability. During this time, Hacker’s can use this vulnerability to install Viruses and security-software- company’s can not deliver new signatures to protect our systems.

Microsoft is not alone with this strategy, it is common to act like this in the software business. Open Source Software is an exception, normally we know it earlier if there is a vulnerability.

Well if some security-researcher’s need space to present the vulnerability to us, I will give you some space on my website…or maybe we still got to visit the hacker websites to keep us informed about the latest vulnerability’s 😉

[/en]