Bedrijven als HP, IBM, Microsoft en Apple moeten voortaan opschieten met het patchen van ernstige beveiligingslekken in hun software, anders zullen de details voor iedereen beschikbaar worden. Beveiligingsbedrijf TippingPoint heeft namelijk een nieuw beleid voor het uitgeven van advisories. Het bedrijf koopt via het Zero Day Initiative beveiligingslekken van onderzoekers en hackers, rapporteert die vervolgens aan de betreffende leverancier en verwerkt een update in de eigen producten, zodat klanten eerder beschermd zijn dan de rest van de populatie.

Lange tijd werkte deze strategie prima, aldus Aaron Portnoy van TippingPoint. "We zien nu dat dit proces wat verfijning kan gebruiken." Steeds meer leveranciers nemen de tijd om kwetsbaarheden te verhelpen, waardoor tientallen ernstige beveiligingslekken al meer dan een jaar op een patch wachten. "Wij vinden dat dit de eindgebruiker onnodig voor een langere periode risico laat lopen", merkt Portnoy op.

Deadline
En dat is geen theoretisch risico, zegt Portnoy. Steeds meer onderzoekers, zowel goedwillend als kwaadwillend, vinden dezelfde kwetsbaarheden. Sommige beveiligingsbedrijven die lekken opkopen melden dit niet eens meer aan de betreffende leverancier. "Daardoor kunnen we aannemen dat veel van onze lekken al bij anderen bekend zijn."

Om leveranciers sneller te laten werken, heeft TippingPoint daarom besloten een deadline van zes maanden in te stellen, die vanaf vandaag van kracht is. De deadline geldt alleen voor nieuwe beveiligingslekken. Daardoor kunnen voornamelijk IBM, HP en RealNetworks gerust adem halen. IBM heeft bijvoorbeeld negen ernstige lekken van meer dan 600 dagen openstaan, waarvan de oudste 1156 dagen is.

Als een leverancier aan het eind van de deadline niet kan verklaren waarom het zo traag met patchen is, publiceert TippingPoint een beperkte advisory waarin oplossingen en workarounds voor de eindgebruiker staan. "De leverancier zal zo de verantwoordelijkheid begrijpen die hij voor zijn klanten heeft en daarop reageren."