Microsoft poszuka dziur w produktach innych firm

11-08-2008, 18:19

Eksperci z Redmond w ramach programu Microsoft Vulnerability Research (MSVR) zajmą się aktywnym wyszukiwaniem luk bezpieczeństwa w aplikacjach innych producentów. Koncern będzie służyć informacją na temat możliwych sposobów naprawienia wykrytych usterek.

Skąd ten pomysł? Mike Reavey z działu Microsoft Security Response Center twierdzi, że ponad 80% ataków wymierzonych w Windows XP tak naprawdę dotyczy programów innych firm, stworzonych dla tego systemu. W przypadku Windows Visty odsetek podobnych ataków jest jeszcze wyższy i sięga 90% - podaje Dark Reading. Inicjatywa Microsoftu ma więc na celu poprawienie bezpieczeństwa ekosystemu Windows.

Koncern zobowiązuje się do zachowania całkowitej dyskrecji - szczegóły wykorzystania poszczególnych luk będą ujawniane dopiero po wydaniu odpowiednich poprawek. Poza własnymi analizami prowadzonymi w ramach Microsoft Security Development Lifecycle (SDL) w programie mają się pojawiać również powiadomienia pochodzące z zewnątrz - informuje serwis Heise Online. W ostatnich miesiącach Microsoft podejmował już współpracę z firmą Apple w celu wyeliminowania usterki, znanej jako Safari Carpet Bomb.

Co z lukami w produktach Microsoftu? Na konferencji Black Hat przedstawiciele koncernu poinformowali, że od października zostanie wdrożony Microsoft Active Protections Program (MAPP), który umożliwi twórcom oprogramowania otrzymywanie szczegółowych informacji na temat planowanych aktualizacji zabezpieczeń. W informacjach udostępnianych przez Microsoft znajdą się wskazówki dotyczące wykorzystania znalezionych błędów. Dzięki temu producenci antywirusów i innych programów zabezpieczających będą mogli z wyprzedzeniem przygotować i opublikować odpowiednie sygnatury.

Na uwagę zasługuje też Exploitability Index - stworzona przez ekspertów z Redmond trzystopniowa skala określająca prawdopodobieństwo ataku na daną lukę. Microsoft chce w ten sposób pomóc klientom w ocenie ryzyka i odpowiedniej priorytetyzacji rozprowadzania udostępnionych poprawek. Od jakiegoś czasu istnieje wprawdzie Common Vulnerability Scoring System, którym w swoich komunikatach o błędach posługują się firmy takie, jak Cisco czy Oracle, Microsoft uważa jednak, że podawane w CVSS wartości są mało przejrzyste dla zwykłego użytkownika.


Następny artykuł » zamknij

Źródło: Dark Reading, Microsoft, Heise Online
Tematy pokrewne:  

tag poprawkitag Microsofttag lukitag aktualizacje
  
znajdź w serwisie

RSS  

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Listy
Listy  
« Maj 2021»
PoWtŚrCzwPtSbNd
 12
3456789
10111213141516
17181920212223
24252627282930
31