gulli:Newsbox

gulli news abonnieren

gulli:IT-Glossar

BASIC
Bug (Fehler)
Domain
Link
MP3
Peer-to-Peer (P2P)
World Wide Web (WWW)

gulli:Tipps

Geld sparen:

17. November 2008

Patch Day Exploitability Index entpuppt sich als mittelmäßiger Erfolg

An jedem zweiten Dienstag im Monat halten die Entwickler des weltweit größten Softwarekonzerns die neusten Updates und Patches für ihre Windows-Produkte bereit. Dabei empfiehlt sich immer im eigenen Interesse der Anwender die neuen Fixes vom Patch Day zu installieren. Um die Angelegenheit etwas anschaulicher zu gestalten, hatte man bei Microsoft den sogenannten "Exploitability Index" ins Leben gerufen.

Beim "Exploitability Index" handelt es sich um eine Prognose, die aufzeigen soll, wie groß die Wahrscheinlichkeit einer Ausnutzung der zu schließenden Sicherheitslücke ist. Anlässlich des monatlich statt findenden Patch Days will Microsoft den Anwendern stets eine möglichst aktuelle Einschätzung liefern.

Im Zuge des Patch Days im Monat November wurde der "Exploitability Index" zum zweiten Mal veröffentlicht. In dieser besagten Statistik sollen stets aktuelle Zahlen einfließen und sich somit eine möglichst objektive Darstellung ergeben. Da der letzte Patch Day nun knapp zwei Wochen zurückliegt, konnte man die gewonnen Fakten bereits in die Statistik integrieren und ein Fazit ziehen. Mike Reavey, der Group Manager im Microsoft Security Research Response Center (MSRC) zeigt sich vorerst zufrieden mit dem Ergebnis, obgleich es noch einige verbesserungswürdige Punkte zu kritisieren gibt.

Es ist die Rede von einer etwa fünfzigprozentigen Ungenauigkeit in den erhobenen Zahlen. Für die im November vorausgesagten Lücken hat Microsoft vermutet, dass es schon in naher Zukunft für neun Lücken einen funktionierenden Schadcode geben würde.

Windows, Microsoft Logo, Exploitability Index, Patch Day Tatsächlich tauchten aber nur vier davon auf. Der nächsten Einschätzung zufolge sollten für vier andere Sicherheitslücken keinerlei Exploits auftauchen, was sich bislang bewahrheitet hat. Insgesamt waren die getroffenen Prognosen in nur 8 von 20 Fällen korrekt. Mit diesem Resultat will sich Reavey samt den Kollegen bei Microsoft allerdings nicht zufrieden geben. Der Index soll weiteren Verbesserungen unterzogen werden. (gS-)