微軟首次公開Windows漏洞的分類和處理方式
近日,微軟首次向安全研究界公開發布了兩份檔案,詳細介紹了其對Windows安全漏洞的分類和處理方式。
這些檔案是由微軟安全響應中心(MSRC)在過去一年中編輯整合而成,所謂“微軟安全響應中心(MSRC)”是負責接收和處理微軟安全相關漏洞報告的一個部門。
據悉,這兩份檔案的草稿已於今年6月份釋出,目的是收集安全研究界和更廣泛的安全行業的反饋資訊。而本週一釋出的則是包含大量最新資訊的最終版本。
第一個檔案是名為“微軟的Windows安全服務標準”的網頁。該頁面涵蓋的主要資訊包括:哪些型別的Windows功能通常通過緊急的“週二補丁日”(Patch Tuesday)提供安全更新服務,以及哪些漏洞留給Windows主開發團隊修復並在一年兩次(bi-annual)的Windows作業系統更新中推出。
該檔案將所有內容分為3大類:安全邊界、安全功能以及縱深防禦(defense-in-depth)安全功能。
其中,安全邊界是那些微軟認為明顯違反資料訪問策略的內容。例如,一個錯誤報告描述了非管理員使用者模式程序如何獲取核心模式和資料訪問許可權,該錯誤將被視為“安全邊界”違規,在此情況下屬“核心邊界”。Microsoft列出了九個安全邊界——網路、核心、程序、AppContainer沙箱、使用者、會話、Web瀏覽器、虛擬機器以及虛擬安全模式邊界。
安全功能是應用程式和其他在作業系統里加強安全邊界功能的漏洞報告,例如BitLocker、Windows Defender、Secure Boot等中的漏洞報告。
前兩個的漏洞報告幾乎都是被界定為“安全漏洞”,微軟團隊將通過每月的“週二補丁日”安全更新的即時補丁嘗試修復這些漏洞。
最後一類——深度防禦(defense-in-depth)安全功能,是微軟認為魯棒性(robustness)和前兩個類別不在一個層次上,只是提供“額外安全性”的功能。深度防禦安全功能包括使用者帳戶控制(UAC)功能、AppLocker、地址空間佈局隨機化(ASLR)、控制流保護(CFG)等等。
深度防禦功能裡的錯誤報告通常不會通過“週二補丁”提供更新服務,而是會被記錄下來,並在稍後有需要的時候再提供補丁。
微軟釋出的第二份檔案是一個PDF文件,該文件描述了微軟如何將錯誤報告按嚴重性分級排名。該文件詳細說明了哪些錯誤被評為嚴重、哪些被評為重要、哪些被評為中等以及哪些被評為低風險。
例如,允許未經授權訪問檔案系統並在磁碟上寫入資料的錯誤被列為嚴重漏洞,而僅僅重啟應用程式的拒絕服務錯誤就始終被視為低風險漏洞。
在過去幾年裡,微軟多次被批評未能在研究人員提交漏洞報告後及時修復某些漏洞。
這些文件的目的是為安全研究人員、媒體、系統管理員以及普通使用者澄清整個事情。就像其他任何公司一樣,微軟安全響應中心(MSRC)的資源也十分有限,該文件使資訊保安社群可以深入瞭解微軟工作人員在審視和確定安全漏洞優先順序時所用到的流程。
對於發表的這兩份檔案,微軟方面表示,我們希望這份文件會成為隨著時間的推移而不斷髮展的‘活’檔案,我們期待繼續就此話題與安全社群進行對話。
關於微軟公佈的其對Windows安全漏洞的分類和處理方式原文地址:
ofollow,noindex">https://www.microsoft.com/en-us/msrc/windows-security-servicing-criteria?rtc=1
https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE2A3xt
相關閱讀
谷歌發現“最可怕”的Windows遠端程式碼執行漏洞