Der Sicherheitsspezialist TippingPoint setzt Softwareanbietern ab sofort eine Frist von sechs Monaten, um Schwachstellen zu schließen, die über seine Zero Day Initiative (ZDI) gemeldet wurden. Das kündigt TippingPoints Manager für Sicherheitsforschung, Aaron Portnoy, in einem Blogeintrag an.
Das zu Hewlett-Packard gehörende Unternehmen bezahlt Sicherheitsforscher über sein ZDI-Programm für die „verantwortungsvolle Veröffentlichung von Schwachstellen“. Die Informationen werden anschließend in die Intrusion-Prevention-Systeme des Unternehmens integriert und an die jeweiligen Hersteller weitergegeben, damit diese Patches entwickeln können.
Die Sechsmonatsfrist gelte auch für bereits gemeldete Fehler, schreibt Portnoy. Der erste Stichtag sei somit der 4. Februar 2011. Über eine mögliche Verlängerung werde von Fall zu Fall entschieden. Sollte ein Unternehmen keinen Patch bereitstellen, werde TippingPoint Details zu den Sicherheitslücken veröffentlichen und Nutzer mit Informationen versorgen, wie sie sich vor den Exploits schützen können. So will das Unternehmen Softwareanbieter dazu zwingen, Schwachstellen schneller zu schließen.
In der Vergangenheit hatten Softwareanbieter unbegrenzt Zeit, um die von TippingPoint gemeldeten Fehler zu beheben. Derzeit sind laut Portnoy über 120 Schwachstellen nicht behoben – 31 wurden bereits vor über einem Jahr entdeckt. Die älteste Lücke wurde laut einer Liste mit unveröffentlichten Sicherheitswarnungen am 22. Mai 2007, also vor 1156 Tagen, gemeldet.
Belohnungen für Schwachstellen sind bei Softwareherstellern umstritten. Google zahlt externen Entwicklern, die sicherheitsrelevanten Probleme melden, zwischen 500 und 3133,70 Dollar. Mozilla hatte im vergangenen Monat seine Prämie von 500 auf 3000 Dollar erhöht.
Zu den Gegnern von Belohnungsprogrammen gehört Microsoft. Ende Juli hatte der Konzern angekündigt, weiterhin nicht für Sicherheitslücken zu bezahlen. Die derzeitige Regelung, die Entdecker in den Security-Bulletins zu erwähnen, funktioniere sehr gut.
Neueste Kommentare
Noch keine Kommentare zu TippingPoint setzt Frist für Sicherheits-Fixes
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.