Microsoft gaat vanaf oktober fabrikanten van beveiligingssoftware sneller informeren over beveiligingslekken in zijn software. Het bedrijf zal zijn Mapp-initiatief officieel op de Black Hat USA 2008-hackconferentie aankondigen.
Makers van beveiligingssoftware die zich aanmelden voor Mapp, kunnen al vóór Microsofts maandelijkse 'Patch Tuesday' informatie krijgen over de beveiligingslekken die gedicht zullen worden. Het doel van het programma is de beveiligingsbedrijven te helpen met het vroegtijdig reproduceren van beveiligingslekken, het aanpassen van virusdefinities en het opsporen van virussen die gebruik maken van een nog te patchen exploit.
"De tijd tussen het bekendmaken van de Patch Tuesday-fixes en het opduiken van exploits wordt steeds korter en klanten hebben gevraagd om informatie om hier adequaat op te kunnen reageren. Wij willen met Mapp de mogelijkheden voor kwaadwillende hackers beperken", aldus Mike Reavey, hoofd van Microsofts beveiligingsafdeling. Soms weten hackers al binnen enkele uren na het vrijgegeven van de patches exploits uit te brengen. Microsoft heeft nog niet aangegeven hoe lang van tevoren patchinformatie zal worden vrijgegeven, maar volgens de Zero Day-blog op Zdnet zal dat waarschijnlijk 24 uur zijn.
Microsoft heeft wel een aantal criteria opgesteld waaraan makers van beveiligingssoftware moeten voldoen om aan het Mapp-initiatief mee te mogen doen. Zo moeten deelnemers effectieve beveiliging tegen netwerk- of host-based-aanvallen aan Microsoft-klanten leveren, moet de klantenkring voldoende groot zijn en mogen ze geen software verkopen waarmee aanvallen uitgevoerd kunnen worden.
Microsoft zal voortaan ook een 'Exploitability Index' publiceren. In deze lijst zal het bedrijf bijhouden wat de kans is dat bepaalde zwakke plekken in de beveiliging door hackers zullen worden benut. Aan de hand van die index kunnen systeembeheerders prioriteit geven aan patches, wat handig is voor bedrijven die patches eerst willen testen voordat ze op de computers in het netwerk worden losgelaten.