Skip to main content
Bewerten 

Coordinated Vulnerability Disclosure (Video zur
koordinierten Veröffentlichung von
Sicherheitsrisiken, in englischer Sprache)

Wenn das MSRC einen Bericht über Sicherheitsrisiken empfängt, entwickeln wir so schnell wie möglich ein Update und verbreiten die Information über das Sicherheitsrisiko, die dadurch entstandenen Risiken und was Kunden tun können, um sich dagegen zu schützen. Wir nehmen unsere Verantwortung, Probleme an unseren Produkten zu beheben, sehr ernst Es ist jedoch so, dass Microsoft-Produkte auf der Hardware von vielen verschiedenen Herstellern, in Millionen verschiedenen Konfigurationen und in Verbindung mit unzählig anderen Anwendungen ausgeführt werden. Damit wir unsere Arbeit so gut wie möglich machen können, brauchen wir die Hilfe der Personen, die Sicherheitsrisiken ermitteln.

Wir bitten die Sicherheitsforschungs-Community, uns die Möglichkeit zu geben, ein Sicherheitsrisiko zu beseitigen, bevor es öffentlich wird, so wie wir dies auch tun, wenn wir Sicherheitsrisiken in den Produkten anderer Anbieter erkennen. Dies ist im Interesse aller, da sichergestellt wird, dass Kunden umfassende, hochqualitative Updates für Sicherheitsrisiken erhalten, jedoch nicht böswilligen Angriffen ausgesetzt werden, während das Update entwickelt wird. Nachdem die Kunden geschützt sind, hilft die öffentliche Diskussion über Sicherheitsrisiken der Industrie, ihre Produkte in einem umfassenderen Maße zu verbessern.

Diese Methoden wird „Koordinierte Veröffentlichung von Sicherheitsrisiken“ (Coordinated Vulnerability Disclosure, CVD) genannt und wurde von Microsoft und anderen Softwareanbietern in der gesamten Branche übernommen. Microsoft hat diese umfassende Strategie entwickelt, um Sicherheitsrisiken zu behandeln, die in der Software von Drittanbietern erkannt wird, um sicherzustellen, dass das Ökosystem geschützt bleibt. Das Programm Microsoft Vulnerability Research (MSVR) ist für die Ermittlung, Berichterstellung und Koordination von Sicherheitsrisiken in Produkten und Diensten von Drittanbietern verantwortlich. In allen Fällen informiert ein Microsoft-Mitarbeiter, der ein Sicherheitsrisiko in der Software eines Drittanbieters erkannt hat, das MSVR-Programm darüber und legt Details des Sicherheitsrisikos in Zusammenarbeit mit dem Anbieter offen.

Der Ansatz von Microsoft für die koordinierte Veröffentlichung von Sicherheitsrisiken

Unter dem Prinzip der koordinierten Veröffentlichung von Sicherheitsrisiken legen die Finder neu entdeckte Sicherheitsrisiken in der Hardware, Software und in Diensten direkt für die Anbieter des betroffenen Produkts offen. Alternativ gehen die Informationen an ein nationales Zertifikat oder an andere Koordinatoren, die dies privat an den Anbieter weitergeben oder an einen privaten Dienst, der wiederum den Anbieter kontaktiert. Die Finder ermöglichen dem Anbieter, vollständig getestete Updates, Problemumgehungen oder andere Korrekturmaßnahmen zu diagnostizieren und anzubieten, bevor eine andere Partei Details zum Sicherheitsrisiko offenlegt oder die Informationen an die Öffentlichkeit weitergibt. Der Anbieter koordiniert weiterhin die gesamte Untersuchung des Sicherheitsrisikos mit dem Finder und hält diesen über den Stand der Dinge auf dem Laufenden. Beim Release eines Updates kann der Anbieter den Finder in der Bekanntmachung oder im Informationsbericht für die Erkennung und für die vertrauliche Meldung des Problems erwähnen. Wenn Angriffe öffentlich ausgeführt werden, und der Anbieter noch mit der Entwicklung des Updates beschäftigt ist, arbeiten der Anbieter und der Finder so eng wie möglich zusammen, um so früh wie möglich mit der Offenlegung des Sicherheitsrisikos an die Öffentlichkeit zu gehen, um Kunden zu schützen. Ziel ist es, zeitgerechte und konsistente Sicherheitsanleitungen für Kunden bereitzustellen, damit sich diese selbst schützen können.

Um weitere Details zur koordinierten Veröffentlichung von Sicherheitsrisiken (CVD) zu erhalten, lesen Sie die Informationen, die in folgenden Links bereitgestellt sind:

Empfohlenes Video

Erfahren Sie, wie die koordinierte Veröffentlichung von Sicherheitsrisiken Ihren Schutz vor kriminellen Übergriffen verbessern kann.

MAPP-Partner

Wenn Sie ein Kunde eines MAPP-Partners sind, können Sie feststellen, ob für Sie Schutz für die Produkte des Partners verfügbar ist.


Go

MSRC-Blogs

Microsoft Security :: Koordinierte Veröffentlichung von Sicherheitsrisiken | Melden eines Sicherheitsrisikos | MSRC: