Microsoft ujawnia, w jaki sposób określa wagę błędów bezpieczeństwa

Microsoft opublikował niedawno dwa dokumenty związane z bezpieczeństwem, które opisują, w jaki sposób firma określa poziom istotności luk i jak decyduje, kiedy opublikować aktualizacje.

Pierwszy dokument, Microsoft Vulnerability Severity Classification for Windows, wymienia informacje, które Microsoft Security Response Center używa do klasyfikowania ważności problemów bezpieczeństwa ujawnionych firmie lub wykrytych przez pracowników firmy.

Microsoft rozróżnia systemy serwerowe i klienckie i odpowiednio klasyfikuje luki w zabezpieczeniach.

Niektóre cechy podatności lub ataku mogą prowadzić do wyższych lub niższych wskaźników ważności.

Wersje klienckie systemu Windows

  • Krytyczny — Luki w zabezpieczeniach, które można wykorzystać bez ostrzeżeń i monitów. Przykłady obejmują zdalne podniesienie uprawnień, które umożliwiają atakującym pisanie w systemie plików lub wykonywanie dowolnego kodu bez interakcji użytkownika.
  • Ważny — Głównym czynnikiem odróżniającym krytyczne i ważne wskaźniki ważności jest to, że ważne luki w zabezpieczeniach są wykorzystywane z ostrzeżeniami lub podpowiedziami lub za pomocą rozległych działań bez monitowania. Przykłady obejmują lokalną eskalację exploitów uprzywilejowanych lub wykonanie dowolnego kodu, który wymaga szerokiej akcji użytkownika.
  • Umiarkowany — Umiarkowane luki w zabezpieczeniach mogą pozwolić osobie atakującej na uzyskanie informacji z systemów, np. poprzez nieszyfrowane połączenia lub fałszowanie. Obejmuje także niektóre ataki typu „odmowa usługi”.
  • Niska — Najniższy wskaźnik ważności obejmuje ataki o charakterze tymczasowym, np. Odmowa usługi lub modyfikacja danych, które nie utrzymują się między sesjami.

Wersje serwerowe systemu Windows

  • Krytyczny — Luki w zabezpieczeniach serwera, takie jak robaki sieciowe, które zagrażają serwerowi. Exampls obejmują nieautoryzowany dostęp do plików i ataki typu SQL injection.
  • Ważny — Luki w zabezpieczeniach, takie jak ataki typu „odmowa usługi” lub ataki z podniesionymi uprawnieniami, które nie są domyślne lub dla których istnieją ograniczenia, które mogą zapobiec krytycznym scenariuszom.
  • Umiarkowany — Luki w zabezpieczeniach, które zwykle wymagają określonych scenariuszy, określonych lokalizacji lub innych wymagań wstępnych.
  • Niska — Ujawnianie informacji i manipulowanie nimi, które są określone lub nie są ukierunkowane.

Kryteria obsługi zabezpieczeń firmy Microsoft dla systemu Windows

Microsoft ujawnił w drugim dokumencie, w jaki sposób określa, kiedy opublikować aktualizacje zabezpieczeń dla luk w zabezpieczeniach.

obsługa aktualizacji zabezpieczeń Microsoft

Użytkownicy i administratorzy systemu Windows wiedzą, że Microsoft publikuje aktualizacje zabezpieczeń w drugi wtorek każdego miesiąca i jest to najczęstszy czas na wydanie. Zamiast tego niektóre aktualizacje zabezpieczeń muszą zostać natychmiast wydane; dotyczy to luk w zabezpieczeniach, które są aktywnie wykorzystywane na dużą skalę. Inne aktualizacje zabezpieczeń mogą nie zostać wydane natychmiast lub w trakcie aktualizacji wtorek, ponieważ są one odraczane do następnej aktualizacji funkcji dla określonej wersji systemu Windows.

Kryteria obsługi zabezpieczeń firmy Microsoft dla systemu Windows szczegółowo określają proces określania, kiedy opublikować poprawki. Dwa pytania są bardzo ważne, jeśli chodzi o to:

  • Czy luka narusza cel lub cel granicy bezpieczeństwa lub funkcji bezpieczeństwa?
  • Czy dotkliwość tej luki spełnia kryteria w zakresie serwisowania?

Microsoft tworzy aktualizacje zabezpieczeń dla luk w zabezpieczeniach, jeśli odpowiedź na oba pytania brzmi „tak”. Jeśli co najmniej jedna odpowiedź brzmi „nie”, Microsoft może odłożyć aktualizację do następnej wersji lub wydania systemu Windows.

Dokument zawiera również informacje na temat granic bezpieczeństwa, funkcji i szczegółowych zabezpieczeń.

  • Granica bezpieczeństwa — Granica bezpieczeństwa zapewnia logiczną separację między kodem a danymi domen bezpieczeństwa o różnych poziomach zaufania
  • Funkcjonalność związana z bezpieczeństwem — Funkcje bezpieczeństwa opierają się na granicach bezpieczeństwa, aby zapewnić niezawodną ochronę przed określonymi zagrożeniami.
  • Dogłębne funkcje bezpieczeństwa — W niektórych przypadkach funkcja bezpieczeństwa może zapewnić ochronę przed zagrożeniem bez możliwości zapewnienia solidnej ochrony. Te funkcje bezpieczeństwa są zwykle określane jako funkcje dogłębne lub łagodzące, ponieważ zapewniają dodatkowe bezpieczeństwo, ale mogą mieć ograniczenia projektowe, które uniemożliwiają im pełne złagodzenie zagrożenia

Słowa końcowe

Dwa opublikowane dokumenty rzuciły nieco światła na schemat oceny ważności, którego używa Microsoft do klasyfikowania luk w zabezpieczeniach, oraz sposób, w jaki firma określa, kiedy produkować aktualizacje zabezpieczeń dla problemów, a kiedy przesyłać aktualizacje zabezpieczeń do nowszych wersji systemu Windows. (przez Günter Born)

Podsumowanie
Microsoft ujawnia, w jaki sposób określa wagę błędów bezpieczeństwa
Nazwa artykułu
Microsoft ujawnia, w jaki sposób określa wagę błędów bezpieczeństwa
Opis
Microsoft opublikował niedawno dwa dokumenty związane z bezpieczeństwem, które opisują, w jaki sposób firma określa poziom istotności luk i jak decyduje, kiedy opublikować aktualizacje.

Link do głównej publikacji