Patch-Day: Updates erstmals mit Exploitability Index

Microsoft wird heute erstmals zu seinen neuen Patches auch eine Prognose zur Wahrscheinlichkeit der Ausnutzung der damit zu schließenden Lücken veröffentlichen. Insgesamt sind heute 11 Updates für Windows, Office und Internet Explorer geplant. Der Softwarekonzern hatte die Einführung des neuen "Exploitability Index" vor zwei Monaten angekündigt. Er soll in den zu jedem neu erscheinenden Update gehörigen Sicherheitshinweis einfließen und basiert auf einem dreistufigen Ranking, das die Wahrscheinlichkeit einer Bedrohung angibt.

Folge Einstufungen sind angedacht:

Konsistenter Exploit-Code wahrscheinlich

Inkonsistenter Exploit-Code wahrscheinlich

Funktionierender Exploit-Code unwahrscheinlich

Microsoft will durch dieses zweite System zur Einstufung von Sicherheitslücken bzw. Updates die bereits bestehende Kategorisierung von "kritisch" bis "wichtig" ergänzen. Die Anwender - vor allem in großen Unternehmen - sollen so besser erkennen können, ob sie einen Patch wirklich schnellstmöglich installieren müssen. Gerade große Firmen sind in dieser Hinsicht oft unflexibel.

Offenbar werden die Redmonder heute auch erstmals neue Informationen zum neuen Microsoft Active Protection-Programm bereit stellen, in dessen Rahmen verschiedene Sicherheitsdienstleister vor Veröffentlichung eines Patches über neue Lücken informiert werden, um so schneller mit entsprechenden Updates für ihre Programme reagieren zu können.

Nach Angaben von ComputerWorld haben einige Sicherheitsdienstleister schon in der letzten Woche Informationen zu den für heute geplanten Updates erhalten. Zuvor mussten die Unternehmen immer genauso auf den Patch-Day warten wie alle anderen Kunden von Microsoft.

Update (15.10. 9:20 Uhr): Anders als erwartet, finden sich in den neu veröffentlichten Sicherheitshinweisen und den dazugehörigen Patch-Informationen noch keine Anzeichen für den neuen Exploitability Index.