Η Microsoft δημοσίευσε ένα draft έγγραφο που διευκρινίζει ποια κενά ασφαλείας των Windows ή άλλων προϊόντων της θα λαμβάνουν άμεση ενημέρωση και ποια μπορούν να αφεθούν για αργότερα.
Το έγγραφο αναφέρει τα κριτήρια που χρησιμοποιεί το Κέντρο αντιμετώπισης προβλημάτων της Microsoft για να αποφασίσει αν κάποια αναφερθείσα ευπάθεια θα επιδιορθωθεί άμεσα, συνήθως σε μια ενημερωμένη έκδοση ασφαλείας του επόμενου Patch Tuesday, ή θα κυκλοφορήσει με τις ενημερώσεις κάποιου άλλου μήνα.
Η Microsoft αναφέρει σε μια δημοσίευση στο blog της ότι το έγγραφο έχει ως στόχο να προσφέρει στους ερευνητές “περισσότερη διαύγεια γύρω από τα χαρακτηριστικά ασφαλείας, τα όρια και τις επιδιορθώσεις στα Windows καθώς και τις δεσμεύσεις για την εξυπηρέτηση”.
Τα κριτήρια που αναφέρει η εταιρεία για την αξιολόγηση σοβαρότητας των ευπαθειών συνοψίζονται σε δύο βασικά ερωτήματα:
1. Το τρωτό σημείο παραβιάζει την υπόσχεση ενός ορίου ασφαλείας ή ενός χαρακτηριστικού ασφάλειας που έχει δεσμευτεί η Microsoft να υπερασπίζεται; και
2. Η σοβαρότητα της ευπάθειας συναντά τη γραμμή της εταιρείας για εξυπηρέτηση;
Εάν η απάντηση στις δύο παραπάνω ερωτήσεις είναι “ναι”, το σφάλμα θα επιδιορθωθεί στην επόμενη ενημερωμένη έκδοση ασφαλείας, αλλά αν η απάντηση και στις δύο ερωτήσεις είναι “όχι”, η ευπάθεια θα καταγραφεί για μια επόμενη ενημέρωση ή κάποια επόμενη έκδοση του επηρεαζόμενου προϊόντος, δυνατότητας ή υπηρεσίας.
Η γραμμή αμεσότητας της εξυπηρέτησης που χρησιμοποιεί η εταιρεία φαίνεται να καθορίζεται από το σύστημα βαθμολόγησης της σοβαρότητας της Microsoft, για να βοηθήσει τους προγραμματιστές να κατανοήσουν τον κίνδυνο κάθε ευπάθειας. Έτσι έχουμε ευπάθειες που είναι κρίσιμες, σημαντικές, μέτριες, χαμηλές και καθόλου.
“Αν μια ευπάθεια κριθεί κρίσιμη ή σημαντικ’η και αφορά ένα όριο ασφαλείας ή ένα χαρακτηριστικό ασφάλειας που έχουμε την υποχρέωση εξυπηρέτησης, τότε θα αντιμετωπιστεί μέσω μιας ενημερωμένης έκδοσης ασφαλείας”, αναφέρει το έγγραφο.
Η Microsoft παρακάτω απαριθμεί οκτώ τύπους ορίων ασφαλείας για τους οποίους έχει την δέσμευση εξυπηρέτησης. Για παράδειγμα η εταιρεία διαχωρίζει τις ευπάθειες μεταξύ της λειτουργίας του πυρήνα και των λειτουργιών του χρήστη.
Τα χαρακτηριστικά ασφαλείας που η εταιρεία έχει την δέσμευση να εξυπηρετεί άμεσα είναι: BitLocker και Secure Boot, Windows Defender System Guard, Windows Defender Application Control, Windows Hello, Windows Resource Access Control, πλατφόρμα κρυπτογράφησης, Host Guardian Service, και authentication protocols.
Όλα τα εγγεγραμμένα όρια ασφαλείας και τα χαρακτηριστικά ασφαλείας που υποστηρίζει η εταιρεία περιλαμβάνονται στο πρόγραμμα Bug Bounty της Microsoft.
Ωστόσο, οι δεσμεύσεις εξυπηρέτησης της Microsoft δεν ισχύουν για ορισμένα χαρακτηριστικά άμυνας, όπως τα Control Flow Guard, Code Integrity Guard και Arbitrary Code Guard. Άλλα χαρακτηριστικά που εξαιρούνται από τις δεσμεύσεις εξυπηρέτησης περιλαμβάνουν την προστασία από ransomware, και το antivirus της Microsoft, Windows Defender.
Μπορείτε να διαβάσετε το έγγραφο για περισσότερες πληροφορίες (PDF).
_______________________
- Windοws 10 S Mode με το πάτημα ενός κουμπιού στις Ρυθμίσεις
- Windοws 10 Redstone 5 χτύπημα κάτω από τη μέση σε antivirus τρίτων
- Google Chrome αφαιρεί την ένδειξη ασφαλής από σελίδες με HTTPS