Der Sicherheitsspezialist TippingPoint setzt Softwareanbietern ab sofort eine Frist von sechs Monaten, um Schwachstellen zu schließen, die über seine Zero Day Initiative (ZDI) gemeldet wurden. Das kündigt TippingPoints Manager für Sicherheitsforschung, Aaron Portnoy, in einem Blogeintrag an.
Das zu Hewlett-Packard gehörende Unternehmen bezahlt Sicherheitsforscher über sein ZDI-Programm für die „verantwortungsvolle Veröffentlichung von Schwachstellen“. Die Informationen werden anschließend in die Intrusion-Prevention-Systeme des Unternehmens integriert und an die jeweiligen Hersteller weitergegeben, damit diese Patches entwickeln können.
Die Sechsmonatsfrist gelte auch für bereits gemeldete Fehler, schreibt Portnoy. Der erste Stichtag sei somit der 4. Februar 2011. Über eine mögliche Verlängerung werde von Fall zu Fall entschieden. Sollte ein Unternehmen keinen Patch bereitstellen, werde TippingPoint Details zu den Sicherheitslücken veröffentlichen und Nutzer mit Informationen versorgen, wie sie sich vor den Exploits schützen können. So will das Unternehmen Softwareanbieter dazu zwingen, Schwachstellen schneller zu schließen.
In der Vergangenheit hatten Softwareanbieter unbegrenzt Zeit, um die von TippingPoint gemeldeten Fehler zu beheben. Derzeit sind laut Portnoy über 120 Schwachstellen nicht behoben – 31 wurden bereits vor über einem Jahr entdeckt. Die älteste Lücke wurde laut einer Liste mit unveröffentlichten Sicherheitswarnungen am 22. Mai 2007, also vor 1156 Tagen, gemeldet.
Belohnungen für Schwachstellen sind bei Softwareherstellern umstritten. Google zahlt externen Entwicklern, die sicherheitsrelevanten Probleme melden, zwischen 500 und 3133,70 Dollar. Mozilla hatte im vergangenen Monat seine Prämie von 500 auf 3000 Dollar erhöht.
Zu den Gegnern von Belohnungsprogrammen gehört Microsoft. Ende Juli hatte der Konzern angekündigt, weiterhin nicht für Sicherheitslücken zu bezahlen. Die derzeitige Regelung, die Entdecker in den Security-Bulletins zu erwähnen, funktioniere sehr gut.
Der Anteil steigt seit 2020 um 34 Prozentpunkte. Allein 2023 erfasst Kaspersky rund 10 Millionen…
Salesforce forciert den Ausbau seiner Industry Clouds. Mit ihrem Prozesswissen könnten deutsche IT-Dienstleister davon profitieren.
Bisher unbekannter Bedrohungsakteur versucht über gefälschte IP Scanner Software-Domänen Zugriff auf IT-Umgebungen zu erlangen.
Der Bericht zeigt bereits nutzbare Angriffsanwendungen und bewertet die Risiken, die davon ausgehen.
Deutsche sehen Finanzwesen und IT im Zentrum der KI-Transformation. Justiz und Militär hingegen werden deutlich…
Cubbit ist das weltweit erste Unternehmen, das Cloud-Objektspeicher anbietet. Es wurde 2016 gegründet und bedient…