Microsoft hat heute Neues bekannt geben rund um den Umgang mit Sicherheitslücken. Insgesamt gibt es drei Neuigkeiten, wie die Kollegen im MSRC-Blog berichten. Zuerst wäre da die Ankündigung eines offiziellen Dokuments, dass Microsofts Standpunkt zur Coordinated Vulnerability Disclosure (CVD) erläutert. CVD ist die im Juli 2010 von Microsoft beschrieben Art, zukünftig mit Bugs umzugehen. Wir wollten damit weg von der oftmals fruchtlosen Diskussion über „Responsible Disclosure versus Full Disclosure“. Stattdessen wollten wir einen stärkeren Fokus auf immer wichtiger werdende Rolle der Koordination richten. Nur mit dieser lässt sich das Risiko für Kunden umfassend senken. Kernbestandteil von CVD ist es weiterhin, dass der von der Lücke betroffene Hersteller oder ein öffentliches CERT (Computer Emergency Response Team) vertraulich vom Entdecker der Schwachstelle informiert wird. Dazu kommt aber die Koordination: Hersteller und Bug-Finder sollten gemeinsam eng an einer Lösung des Problems arbeiten.

 

Mit der heutigen Ankündigung beschreibt Microsoft die Abläufe seiner drei, im Zusammenhang mit dem Veröffentlichen von Schwachstellen relevanten, Rollen noch stärker. Die drei Rollen sind: Hersteller, der Sicherheitslücken beheben muss; Entdecker von Schwachstellen in den Produkten anderer Hersteller; Koordinator, wenn eine Schwachstelle verschiedene Hersteller gleichzeitig betrifft. Im Dokument, das auf der MSRC Disclosure Page zum Download steht, beschreibt Microsoft genau, wie das Unternehmen Schwachstellen an andere Industriepartner, Kunden und die Gemeinde der unabhängigen Sicherheitsexperten (Hacker) kommunizieren wird.

 

Mit dem Dokument will Microsoft unterstreichen, dass der Prozess des Veröffentlichens von Schwachstellen eine gemeinsame Aufgabe ist. Sie lässt sich am besten bewältigen, wenn es eine gute Absprache zwischen Entdeckern, Herstellern und den Anbietern von Schutzmechanismen gibt. So lassen sich Kunden, Unternehmen und kritische Infrastrukturen schützen. Microsoft lehnt Public Disclosure, als das Offenlegen aller Details einer Schwachstelle übrigens nicht gänzlich ab: Im Fall einer großangelegten, aktiven Attacke auf einen Bug kann auf das Finden von Workarounds ausgerichtetes Public Disclosure der beste Weg sein. Aber auch in diesem Fall sollte der Prozess koordiniert ablaufen.

 

Die zweite Ankündigung betrifft eine neue Art von Sicherheitsempfehlung: Microsoft wird ab sofort Empfehlungen zu Schwachstellen veröffentlichen, die von Microsoft in Produkten anderer Hersteller entdeckt wurden. Die Advisories werden natürlich erst Öffentlich gemacht, nachdem der betroffene Hersteller das Problem beheben konnte. In den Dokumenten verweist Microsoft dann auf öffentlich zugängliche Information des jeweiligen Herstellers über Updates oder risikomindernde Maßnahmen.

 

Zeitgleich zu dieser Ankündigung hat Microsoft zwei solche Empfehlungen veröffentlicht: MSVR-11-001 und MSVR-11-002. Ersteres betrifft eine Lücke im Browser Google Chrome, die ein Ausführen von Code aus der Ferne (remote code execution) erlaubt. Zweiteres dreht sich um die Implementierung von HTML5 in den Browsern Google Chrome und Opera, durch die Informationslecks entstehen können.

 

Die dritte und letzte Ankündigung dreht sich um eine interne Richtlinie: Die Employee Disclosure of Vulnerabilities Policy (Mitarbeiterrichtlinie zum Veröffentlichen von Schwachstellen) sagt Microsoft-Mitarbeitern, wie sie eventuell von ihnen entdeckte Schwachstellen behandeln sollten. Diese Richtlinie wird nicht veröffentlicht.

 

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.