Adobe will schon bald Microsofts Informationspolitik übernehmen, was die Kommunikation gegenüber Antivirenherstellern bezüglich Sicherheitslücken angeht, für die noch kein Patch existiert. Das erklärten beide Hersteller gestern auf der Black-Hat-Konferenz.
Microsoft hatte 2008 sein Microsoft Active Protections Program (MAPP) ins Leben gerufen und seitdem Informationen an die Sicherheitsfirmen weitergegeben, bevor Updates verfügbar gemacht wurden, um durch Antimalwareprogramme einen schnellen Schutz zu ermöglichen.
Laut Microsoft habe MAPP dazu beigetragen, das "Verwundbarkeitszeitfenster" in einigen Fällen um mehr als 75 Prozent zu verkürzen. Dieser Erfolg habe Adobe dazu veranlasst, dem Beispiel Microsofts ab Herbst zu folgen, sagte Brad Arkin, Direktor für Produktsicherheit und Datenschutz gegenüber CNET.com. "Es ist für uns sinnvoller, mit Microsoft zusammenzuarbeiten, als jede Menge zusätzliche Arbeit darin zu investieren, das Rad neuzuerfinden.", so Arkin. Adobe werde seine Informationen an dieselben MAPP-Partner wie Microsoft weiterleiten und dabei dasselbe Format und dieselbe Infrastruktur nutzen.
Microsoft wird unterdessen noch diese Woche das "Advanced Mitigation Experience Toolkit" ankündigen, das es Anwendungen von Drittherstellern und älteren Windows-Versionen erlaubt, Sicherheitstechnologien wie Address Space Layout Randomization (ASLR) und Data Execution Prevention (DEP) zu nutzen. Das sagte Mike Reavey, Direktor des Microsoft Security Response Centers.
Darüber hinaus befürwortet Microsoft jetzt eine Strategie der "koordinierten Informationsweitergabe" (Coordinated Vulnerability Disclosure Policy, CVD), die bei Sicherheitslücken angewandt werden soll, die von unabhängigen Forschern entdeckt worden sind. Die Forscher sollen mit Microsoft zusammenarbeiten, wenn bereits Schadprogramme im Umlauf sind, bevor Details veröffentlicht werden. Für ihre Arbeit will Microsoft anders als Google und Mozilla den Forschern keine Belohnung zahlen.
Microsoft streitet derzeit mit Google, wie man mit ungepatchten Lücken umgehen soll, die bereits von Cyberkriminellen ausgenutzt werden. Ausgelöst wurde die Diskussion dadurch, dass Google-Sicherheitsforscher Tavis Ormandy Details einer Zero-Day-Lücke in der Windows-Funktion "Hilfe und Support" (Help and Security Center) veröffentlicht hatte, ohne Microsoft Zeit zu geben, einen Patch zu entwickeln. Google will eine Obergrenze von 60 Tagen festsetzen. Danach sollen die technischen Details einer Lücke auf jeden Fall veröffentlicht werden.
