Neues zum Umgang mit Bugs – bei Microsoft und bei anderen Herstellern


Microsoft hat heute Neues bekannt geben rund um den Umgang
mit Sicherheitslücken. Insgesamt gibt es drei Neuigkeiten, wie die Kollegen im MSRC-Blog berichten. Zuerst wäre da die
Ankündigung eines offiziellen Dokuments, dass Microsofts Standpunkt zur
Coordinated Vulnerability Disclosure (CVD) erläutert. CVD ist die im Juli 2010
von Microsoft beschrieben Art, zukünftig mit Bugs umzugehen. Wir wollten damit
weg von der oftmals fruchtlosen Diskussion über „Responsible Disclosure versus
Full Disclosure“. Stattdessen wollten wir einen stärkeren Fokus auf immer
wichtiger werdende Rolle der Koordination richten. Nur mit dieser lässt sich
das Risiko für Kunden umfassend senken. Kernbestandteil von CVD ist es
weiterhin, dass der von der Lücke betroffene Hersteller oder ein öffentliches
CERT (Computer Emergency Response Team) vertraulich vom Entdecker der Schwachstelle
informiert wird. Dazu kommt aber die Koordination: Hersteller und Bug-Finder
sollten gemeinsam eng an einer Lösung des Problems arbeiten.

 

Mit der heutigen Ankündigung beschreibt Microsoft die
Abläufe seiner drei, im Zusammenhang mit dem Veröffentlichen von Schwachstellen
relevanten, Rollen noch stärker. Die drei Rollen sind: Hersteller, der
Sicherheitslücken beheben muss; Entdecker von Schwachstellen in den Produkten
anderer Hersteller; Koordinator, wenn eine Schwachstelle verschiedene
Hersteller gleichzeitig betrifft. Im Dokument, das auf der MSRC Disclosure
Page
zum Download steht, beschreibt Microsoft genau, wie das Unternehmen
Schwachstellen an andere Industriepartner, Kunden und die Gemeinde der
unabhängigen Sicherheitsexperten (Hacker) kommunizieren wird.

 

Mit dem Dokument will Microsoft unterstreichen, dass der
Prozess des Veröffentlichens von Schwachstellen eine gemeinsame Aufgabe ist.
Sie lässt sich am besten bewältigen, wenn es eine gute Absprache zwischen
Entdeckern, Herstellern und den Anbietern von Schutzmechanismen gibt. So lassen
sich Kunden, Unternehmen und kritische Infrastrukturen schützen. Microsoft
lehnt Public Disclosure, als das Offenlegen aller Details einer Schwachstelle
übrigens nicht gänzlich ab: Im Fall einer großangelegten, aktiven Attacke auf
einen Bug kann auf das Finden von Workarounds ausgerichtetes Public Disclosure
der beste Weg sein. Aber auch in diesem Fall sollte der Prozess koordiniert
ablaufen.

 

Die zweite Ankündigung betrifft eine neue Art von
Sicherheitsempfehlung: Microsoft wird ab sofort Empfehlungen zu Schwachstellen
veröffentlichen
, die von Microsoft in Produkten anderer Hersteller entdeckt
wurden. Die Advisories werden natürlich erst Öffentlich gemacht, nachdem der
betroffene Hersteller das Problem beheben konnte. In den Dokumenten verweist
Microsoft dann auf öffentlich zugängliche Information des jeweiligen
Herstellers über Updates oder risikomindernde Maßnahmen.

 

Zeitgleich zu dieser Ankündigung hat Microsoft zwei solche
Empfehlungen veröffentlicht: MSVR-11-001 und MSVR-11-002. Ersteres betrifft
eine Lücke im Browser Google Chrome, die ein Ausführen von Code aus der Ferne
(remote code execution) erlaubt. Zweiteres dreht sich um die Implementierung
von HTML5 in den Browsern Google Chrome und Opera, durch die Informationslecks
entstehen können.

 

Die dritte und letzte Ankündigung dreht sich um eine interne
Richtlinie: Die Employee Disclosure of Vulnerabilities Policy
(Mitarbeiterrichtlinie zum Veröffentlichen von Schwachstellen) sagt
Microsoft-Mitarbeitern, wie sie eventuell von ihnen entdeckte Schwachstellen behandeln
sollten. Diese Richtlinie wird nicht veröffentlicht.

 

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht
Michael alles Wissenswerte rund um Schwachstellen in
Microsoft-Produkten und die veröffentlichten Softwareupdates.

 

 

Comments (0)