Nachdem einige der einschlägigen Schwachstellen-Broker angefangen haben, den Herstellern lückenhafter Software eine “Deadline” zu setzen, um einen Patch/Update für das verwundbare Produkt bereit zu stellen, stehen jetzt die Hersteller unter Druck, rechtzeitig auf die Bedrohungen zu reagieren.
Bislang wurden den Herstellern die Informationen über Lücken zugespielt ohne einen Termin für eine Behebung festzusetzen. Das führte dazu, dass selbst bei großen Softwareherstellern kritische Sicherheitslücken über Jahre ungeschlossen blieben.
Den Anwender/Kunden einer derartigen Gefahr auszusetzen ist angesichts steigender Berichte über immer neue Lücken in den verschiedensten Produkten auf Dauer kein haltbarer Zustand.
Nicht selten wissen Kriminelle zeitgleich oder auch schon früher um derartige Schwachstellen und nutzen diese gezielt aus oder verkaufen das Wissen darum gewinnbringend weiter. Daher ist die Annahme Stillschweigen über eine Softwarelücke zu bewahren, bis diese geschlossen ist, um die aktive Ausnutzung zu verhindern, wenig praxisnah. Hingegen reagieren Softwarehersteller meist überraschend zügig auf öffentliche Bekanntmachung kritischer Angriffspunkte in ihren Produkten.
