* c. buhtz: > Schönes aktuelles Beispiel ist dieser Artikel über eine Rede von > Stallman. <http://heise.de/-2507190> > > Dort wird behauptet: > "Die Redmonder klärten zudem zunächst die NSA über Sicherheitslücken > auf, bevor sie diese abdichteten."
Er hat vermutlich etwas verwechselt. Microsoft gibt Vorabinformationen an Bedarfsträger heraus: Microsoft Active Protections Program <http://technet.microsoft.com/en-us/security/dn467918.aspx> Coordinated Vulnerability Disclosure <http://technet.microsoft.com/en-us/security/dn467923.aspx> Bei freier Software ist das auch nicht anders. Es gibt i.d.R. vor der Veröffentlichung einen Austausch zwischen den Distributionen, Upstreams und ggf. anderen Betroffenen, damit bei Veröffentlichung die Nutzer tatsächlich in der Lage sind, Gegenmaßnahmen zu treffen (sei es ein Software-Update oder eine Konfigurationsänderung). Bei freier Software gibt es auch den Fall (vermutlich häufiger als bei proprietärer Software), daß direkt Regierungsorganisationen oder deren Mitarbeiter beteiligt sind. Die letzten ntpd-Schwachstellen (in der ntp.org-Implementierung) wurden zum Beispiel erst an CERT (ob US-CERT oder CMU SEI CERT/CC ist nicht ganz klar) gemeldet und gar nicht vorab an betroffene GNU/Linux-Distributionen. _______________________________________________ fsfe-de mailing list fsfe-de@fsfeurope.org https://mail.fsfeurope.org/mailman/listinfo/fsfe-de