Suchen

Coordinated Vulnerability Disclosure Microsoft startet Schwachstellen-Jagd – Bugs in Google Chrome und Opera

Redakteur: Stephan Augsten

„Von der Philosophie zur Praxis“, unter diesem Motto setzt Microsoft die Richtlinie zur koordinierten Schwachstellen-Aufdeckung (Coordinated Vulnerability Disclosure, CVD) in die Tat um. Der Software-Riese will demnach nicht mehr nur die Sicherheit eigener Produkte erhöhen, sondern Fehler in Drittanbieter-Lösungen melden und Gegenmaßnahmen koordinieren.

Firmen zum Thema

Microsoft meldet künftig auch gefundene Sicherheitslücken in Drittanbieter-Software.
Microsoft meldet künftig auch gefundene Sicherheitslücken in Drittanbieter-Software.
( Archiv: Vogel Business Media )

Microsoft verpflichtet sich im Rahmen der Coordinated Vulnerability Disclosure (CVD) dazu, anderen Herstellern beim Finden und Beheben von Software-Schwachstellen zu helfen. Damit greift die Verhaltensrichtlinie, die Microsoft im Juli 2010 als Ersatz für das „Responsible Disclosure“-Modell angekündigt hatte (Security-Insider.de berichtete).

„Wir fragten uns wie Koordination und Kollaboration dabei helfen können, Sicherheitsproblemen so zu begegnen, dass Kunden möglichst geringen Risiken und Störungen ausgesetzt sind“, schreibt Matt Thomlinson von Trustworthy Computing Security im Microsoft Security Response Center.

Das Dokument „Coordinated Vulnerability Disclosure at Microsoft“ regelt bis ins kleinste Detail, wie Mitarbeiter der Software-Schmiede mit Schwachstellen in Drittanbieter-Produkten umgehen sollen. Alle erforderlichen Schritte im Reaktionsprozess werden genau umrissen, von der Schwachstellen-Dokumentation bis hin zur Lösungsfindung.

Zwei Schwachstellen-Meldungen von Microsoft

Alle Bemühungen sind Teil des Programms zur Schwachstellen-Forschung (Microsoft Vulnerability Research, MSVR), die ersten beiden Sicherheitslücken wurden vergangene Woche als MSVR Advisories öffentlich bekanntgegeben.

  • Die erste Warnung MSVR11-001 bezieht sich auf Google Chrome. Offensichtlich verweist der Browser fehlerhaft auf bereits freigegebenen Speicher. Ein Angreifer könnte versuchen, das Programm zum Absturz oder Einfrieren zu bringen, und anschließend bösartigen Code innerhalb der noch aktiven Chrome-Sandbox ausführen.
  • Das Security Advisory MSVR11-002 betrifft neben Chrome auch den Opera-Browser. Microsoft meldet in diesem Falle eine fehlerhafte HTML-5-Implementierung, die zur Offenlegung privater Informationen führen kann. Allerdings erlaube es die Schwachstelle einem Angreifer nicht, eigenen Code auf der Maschine auszuführen oder die Benutzerrechte anzuheben.

Genau wie es die CVD-Richtlinie vorgibt, wurden die Hersteller bereits über die Schwachstelle informiert. In den kommenden Tagen und Wochen könnte sich bereits zeigen, wie Microsofts mit betroffenen Herstellern – wie in diesem Fall Google und Opera – an der Fehlerbehebung arbeitet.

(ID:2051064)