Adobe in Microsoft na konferenci Black Hat

CNet - Microsoft in Adobe sta na varnostni konferenci Black Hat, ki te dni teče v Las Vegasu, objavila, da bo Apple sprejel Microsoftov model informiranja o varnostnih ranljivostih v svoji programski opremi proizvajalcev programske zaščite pred izidom popravkov. Microsoft je program MAPP (Microsoft Active Protections Program) uvedel leta 2008 in od takrat proizvajalcem poroča o varnostnih luknjah pred uradno izdajo popravka, tako da lahko ti pripravijo ustrezno zaščito že prej. Microsoft ocenjuje, da so s tem zmanjšali okno ranljivosti do 75 odstotkov.

Adobe se je zato odločil, da bo ranljivosti v svojih programih istim proizvajalcem razkrival na enak način. Uporabljali bodo enak format, enak način in isti nabor proizvajalcev zaščitne programske opreme. Brad Arkin, ki je v Adobu zadolžen za varnost, je dejal, da nima smisla ponovno izumljati tople vode, zato bodo uporabili pristop iz Redmonda.

Medtem pa je Microsoft na Black Hatu napovedal še Advanced Mitigation Experience Toolkit, ki bo omogočil uporabo tehnologij za zaščito pred napadom (ASLR, Address Space Layout Randomization, in DEP, Data Execution Prevention) tudi na starejših verzijah Windows. Tako bodo razvijalci programske opreme za starejše inačice Windows izkoristili prednosti, ki jih nudita ASLR in DEP.

Kar se tiče politike obveščanja o varnostnih luknjah, Microsoft sedaj zagovarja koordinirano razkritje (coordinated disclosure) in ne odgovornega razkritja (responsible disclosure, obveščanje proizvajalcev prizadete programske opreme) ali polnega razkritja (full disclosure, obveščanje vseh že v začetku). Podjetje raziskovalce vzpodbuja, da se najprej pogovorijo in delajo skupaj z njimi in ne razkrijejo vseh informacij na internetu, četudi se ranljivost že izkorišča.