Windows: γιατί δεν διορθώνουμε άμεσα μερικά σφάλματα

Η Microsoft δημοσίευσε ένα draft έγγραφο που διευκρινίζει ποια κενά ασφαλείας των Windows ή άλλων προϊόντων της θα λαμβάνουν άμεση και ποια μπορούν να αφεθούν για αργότερα.

Το έγγραφο αναφέρει τα κριτήρια που χρησιμοποιεί το Κέντρο αντιμετώπισης προβλημάτων της Microsoft για να αποφασίσει αν κάποια αναφερθείσα ευπάθεια θα επιδιορθωθεί άμεσα, συνήθως σε μια ενημερωμένη έκδοση ασφαλείας του επόμενου Patch Tuesday, ή θα κυκλοφορήσει με τις ενημερώσεις κάποιου άλλου μήνα.Windows

Η Microsoft αναφέρει σε μια δημοσίευση στο blog της ότι το έγγραφο έχει ως στόχο να προσφέρει στους ερευνητές “περισσότερη διαύγεια γύρω από τα χαρακτηριστικά ασφαλείας, τα όρια και τις επιδιορθώσεις στα Windows καθώς και τις δεσμεύσεις για την εξυπηρέτηση”.

Τα κριτήρια που αναφέρει η για την αξιολόγηση σοβαρότητας των ευπαθειών συνοψίζονται σε δύο βασικά ερωτήματα:

1. Το τρωτό σημείο παραβιάζει την υπόσχεση ενός ορίου ασφαλείας ή ενός χαρακτηριστικού ασφάλειας που έχει δεσμευτεί η Microsoft να υπερασπίζεται; και
2. Η σοβαρότητα της ευπάθειας συναντά τη γραμμή της εταιρείας για εξυπηρέτηση;

Εάν η απάντηση στις δύο παραπάνω ερωτήσεις είναι “ναι”, το σφάλμα θα επιδιορθωθεί στην επόμενη ενημερωμένη έκδοση ασφαλείας, αλλά αν η απάντηση και στις δύο ερωτήσεις είναι “όχι”, η ευπάθεια θα καταγραφεί για μια επόμενη ενημέρωση ή κάποια επόμενη έκδοση του επηρεαζόμενου , δυνατότητας ή υπηρεσίας.

Η γραμμή αμεσότητας της εξυπηρέτησης που χρησιμοποιεί η εταιρεία φαίνεται να καθορίζεται από το σύστημα βαθμολόγησης της σοβαρότητας της Microsoft, για να βοηθήσει τους προγραμματιστές να κατανοήσουν τον κίνδυνο κάθε ευπάθειας. Έτσι έχουμε ευπάθειες που είναι κρίσιμες, σημαντικές, μέτριες, χαμηλές και καθόλου.

“Αν μια ευπάθεια κριθεί κρίσιμη ή σημαντικ’η και αφορά ένα όριο ασφαλείας ή ένα χαρακτηριστικό ασφάλειας που έχουμε την υποχρέωση εξυπηρέτησης, τότε θα αντιμετωπιστεί μέσω μιας ενημερωμένης έκδοσης ασφαλείας”, αναφέρει το έγγραφο.

Η Microsoft παρακάτω απαριθμεί οκτώ τύπους ορίων ασφαλείας για τους οποίους έχει την δέσμευση εξυπηρέτησης. Για παράδειγμα η εταιρεία διαχωρίζει τις ευπάθειες μεταξύ της λειτουργίας του πυρήνα και των λειτουργιών του χρήστη.

Τα χαρακτηριστικά ασφαλείας που η εταιρεία έχει την δέσμευση να εξυπηρετεί άμεσα είναι: BitLocker και Secure Boot, Windows Defender System Guard, Windows Defender Application Control, Windows Hello, Windows Access Control, πλατφόρμα κρυπτογράφησης, Host Guardian Service, και authentication protocols.

Όλα τα εγγεγραμμένα όρια ασφαλείας και τα χαρακτηριστικά ασφαλείας που υποστηρίζει η εταιρεία περιλαμβάνονται στο πρόγραμμα Bug Bounty της Microsoft.

Ωστόσο, οι δεσμεύσεις εξυπηρέτησης της Microsoft δεν ισχύουν για ορισμένα χαρακτηριστικά άμυνας, όπως τα Control Flow Guard, Code Integrity Guard και Arbitrary Code Guard. Άλλα χαρακτηριστικά που εξαιρούνται από τις δεσμεύσεις εξυπηρέτησης περιλαμβάνουν την από ransomware, και το antivirus της Microsoft, Windows Defender.

Μπορείτε να διαβάσετε το έγγραφο για περισσότερες πληροφορίες (PDF).

_______________________

Get the best viral stories straight into your inbox!















giorgos

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).