Microsoft poszuka dziur w produktach innych firm

Skąd ten pomysł? Mike Reavey z działu Microsoft Security Response Center twierdzi, że ponad 80% ataków wymierzonych w Windows XP tak naprawdę dotyczy programów innych firm, stworzonych dla tego systemu. W przypadku Windows Visty odsetek podobnych ataków jest jeszcze wyższy i sięga 90% - podaje Dark Reading. Inicjatywa Microsoftu ma więc na celu poprawienie bezpieczeństwa ekosystemu Windows.

Koncern zobowiązuje się do zachowania całkowitej dyskrecji - szczegóły wykorzystania poszczególnych luk będą ujawniane dopiero po wydaniu odpowiednich poprawek. Poza własnymi analizami prowadzonymi w ramach Microsoft Security Development Lifecycle (SDL) w programie mają się pojawiać również powiadomienia pochodzące z zewnątrz - informuje serwis Heise Online. W ostatnich miesiącach Microsoft podejmował już współpracę z firmą Apple w celu wyeliminowania usterki, znanej jako Safari Carpet Bomb.

Co z lukami w produktach Microsoftu? Na konferencji Black Hat przedstawiciele koncernu poinformowali, że od października zostanie wdrożony Microsoft Active Protections Program (MAPP), który umożliwi twórcom oprogramowania otrzymywanie szczegółowych informacji na temat planowanych aktualizacji zabezpieczeń. W informacjach udostępnianych przez Microsoft znajdą się wskazówki dotyczące wykorzystania znalezionych błędów. Dzięki temu producenci antywirusów i innych programów zabezpieczających będą mogli z wyprzedzeniem przygotować i opublikować odpowiednie sygnatury.

Na uwagę zasługuje też Exploitability Index - stworzona przez ekspertów z Redmond trzystopniowa skala określająca prawdopodobieństwo ataku na daną lukę. Microsoft chce w ten sposób pomóc klientom w ocenie ryzyka i odpowiedniej priorytetyzacji rozprowadzania udostępnionych poprawek. Od jakiegoś czasu istnieje wprawdzie Common Vulnerability Scoring System, którym w swoich komunikatach o błędach posługują się firmy takie, jak Cisco czy Oracle, Microsoft uważa jednak, że podawane w CVSS wartości są mało przejrzyste dla zwykłego użytkownika.