TippingPoint setzt Frist für Sicherheits-Fixes

Softwareanbieter müssen Sicherheitslücken ab sofort innerhalb von sechs Monaten stopfen. Sonst veröffentlicht die Firma Details zu den Schwachstellen. Die Frist gilt auch für bereits gemeldete Fehler.

Über sein ZDI-Programm bezahlt TippingPoint Sicherheitsforscher für entdeckte Lücken.

Der Sicherheitsspezialist TippingPoint setzt Softwareanbietern ab sofort eine Frist von sechs Monaten, um Schwachstellen zu schließen, die über seine Zero Day Initiative (ZDI) gemeldet wurden. Das kündigt TippingPoints Manager für Sicherheitsforschung, Aaron Portnoy, in einem Blogeintrag an.

Das zu Hewlett-Packard gehörende Unternehmen bezahlt Sicherheitsforscher über sein ZDI-Programm für die „verantwortungsvolle Veröffentlichung von Schwachstellen“. Die Informationen werden anschließend in die Intrusion-Prevention-Systeme des Unternehmens integriert und an die jeweiligen Hersteller weitergegeben, damit diese Patches entwickeln können.

Die Sechsmonatsfrist gelte auch für bereits gemeldete Fehler, schreibt Portnoy. Der erste Stichtag sei somit der 4. Februar 2011. Über eine mögliche Verlängerung werde von Fall zu Fall entschieden. Sollte ein Unternehmen keinen Patch bereitstellen, werde TippingPoint Details zu den Sicherheitslücken veröffentlichen und Nutzer mit Informationen versorgen, wie sie sich vor den Exploits schützen können. So will das Unternehmen Softwareanbieter dazu zwingen, Schwachstellen schneller zu schließen.

In der Vergangenheit hatten Softwareanbieter unbegrenzt Zeit, um die von TippingPoint gemeldeten Fehler zu beheben. Derzeit sind laut Portnoy über 120 Schwachstellen nicht behoben – 31 wurden bereits vor über einem Jahr entdeckt. Die älteste Lücke wurde laut einer Liste mit unveröffentlichten Sicherheitswarnungen am 22. Mai 2007, also vor 1156 Tagen, gemeldet.

Belohnungen für Schwachstellen sind bei Softwareherstellern umstritten. Google zahlt externen Entwicklern, die sicherheitsrelevanten Probleme melden, zwischen 500 und 3133,70 Dollar. Mozilla hatte im vergangenen Monat seine Prämie von 500 auf 3000 Dollar erhöht.

Zu den Gegnern von Belohnungsprogrammen gehört Microsoft. Ende Juli hatte der Konzern angekündigt, weiterhin nicht für Sicherheitslücken zu bezahlen. Die derzeitige Regelung, die Entdecker in den Security-Bulletins zu erwähnen, funktioniere sehr gut.

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu TippingPoint setzt Frist für Sicherheits-Fixes

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *