Nul
Microsoft åbnede sine døre i dag til sikkerhedsforskning samfund ved at frigive to dokumenter, som beskriver, hvordan virksomheden klassificerer og håndterer sikkerhed bugs.
De dokumenter, blev sat sammen i løbet af året af Microsoft Security Response Center (MSRC), den afdeling, som modtager og håndterer sikkerhed-relaterede fejlrapporter til Microsoft.
Udkast af de to dokumenter blev frigivet for feedback for forskningen og den bredere sikkerhed industri tilbage i juni. De endelige versioner, med en hel masse nye oplysninger, der blev offentliggjort i dag.
Også: Tesla ændrer produkt politik til at rumme “i god tro” sikkerhedsforskning
Den første af disse dokumenter er en web-side med navnet “Microsoft Security Service Kriterier for Windows.” Denne side indeholder information om, hvilke typer af Windows-funktioner er normalt nås via presserende Patch tirsdag sikkerhedsopdateringer, og hvad bugs er tilbage på de vigtigste Windows-udvikling team til at være faste og rulles ud af en del af bi-årlige Windows opdateringer af OS.
Det dokument, der deler alt op i tre kategorier: sikkerhed grænser, sikkerhed funktioner, og defense-in-depth sikkerhedsfunktioner.
Sikkerhed grænser er, hvad Microsoft mener, at klare overtrædelser af data access-politikker. For eksempel, en fejlrapport der beskriver, hvordan en ikke-admin-bruger mode proces, der får adgang til kernel mode og data vil altid blive betragtet som en “sikkerhed grænse” overtrædelse, i dette tilfælde af “kerne-grænsen.” Microsoft lister ni sikkerhed grænser-netværk -, kerne -, proces, AppContainer sandbox -, bruger -, session, web-browser, virtuelle maskine, og den Virtuelle Sikker Tilstand grænse.
Sikkerhedsfunktioner er fejlrapporter i apps og OS andre funktioner, opbygge og styrke disse sikkerhedsmæssige grænser, såsom rapporter fejl i BitLocker, Windows Defender, Secure Boot og andre.
Fejlrapporter for de to første er næsten hele tiden anses for sikkerhedshuller, som Microsoft team vil forsøge at løse via umiddelbar patches inkluderet i den månedlige Patch tirsdag sikkerhedsopdateringer.
Også: Forsker finder nyt malware persistens metode, der stammer fra Microsoft UWP apps
Den sidstnævnte kategori –defense-in-depth sikkerhedsfunktioner– er sikkerhed funktioner, som Microsoft ikke anser for at være de samme robusthed som de to første kategorier, men kun funktioner, der giver “ekstra sikkerhed.”
Defense-in-depth sikkerhed funktioner omfatter User Account Control (UAC) funktion, AppLocker, Address Space Layout Randomization (ASLR), Control Flow Guard (CFG) , og andre.
Rapporter fejl i forsvaret-i-dybde funktioner er normalt ikke serviceres via Patch tirsdag, men noteret ned, og de er tilgængelige senere ned på linjen, hvis det er nødvendigt.
Vi vil ikke gengive hele dokumentet i denne artikel, men vi anbefaler at gå og læse om hver kategori og se eksempler her.
Også den Seneste Windows ALPC nul-dag, har været udnyttet i naturen i næsten en uge
Det andet dokument Microsoft frigivet i dag er en PDF-fil, der beskriver, hvordan Microsoft tildeler alvor placeringer til fejlrapporter. Dokumentet detaljer, hvad fejl anses for at være Kritiske, hvad der er Vigtigt, hvad fejl får de Moderate rang, og som er vurderet Lav risiko.
For eksempel, en fejl, der giver uautoriseret adgang til filsystemet til at skrive data på disken er der betragtes som Kritiske, mens et lammelsesangreb (denial of service fejl, der kun genstarter en ansøgning vil altid blive betragtet som Lav risiko.
Microsoft er blevet kritiseret mange gange i de seneste år, for ikke om fastsættelse af visse sårbarheder efter forskere indsendt af fejlrapporter.
Formålet med disse dokumenter var at afklare ting for sikkerhed forskere, medier, system administratorer og almindelige brugere. Ligesom enhver virksomhed, MSRC har begrænsede ressourcer, og dette dokument tager infosec samfund indenfor de procedurer, der er Microsoft-medarbejdere bruger til rettergang og prioritere sikkerhed mangler.
“Vi forventer, at det bliver et levende dokument, der udvikler sig over tid, og vi ser frem til at fortsætte dialogen med fællesskabet på dette emne,” sagde Microsoft i dag.
Relaterede Emner:
Microsoft
Sikkerhed-TV
Data Management
CXO
Datacentre
0