von Martin Brinkmann am 11. September 2018 in Windows – Letzte Aktualisierung: 11. September 2018 – 2 Kommentare
Microsoft veröffentlichte zwei security-bezogene Dokumente, die vor kurzem, die beschreiben, wie das Unternehmen bestimmt den Schweregrad von Sicherheitslücken und wie es entscheidet, Wann eine Veröffentlichung der updates.
Das erste Dokument, Microsoft und den Schweregrad von Schwachstellen-Klassifikation für Windows, enthält Informationen, die von Microsoft Security Response Center verwendet zur Klassifizierung der schwere der Sicherheitsprobleme an die Gesellschaft weitergegeben oder finden die Mitarbeiter des Unternehmens.
Microsoft unterscheidet zwischen server-und client-Systeme und Stuft die Sicherheitslücken entsprechend.
Bestimmte Schwachstelle oder angreifen Merkmale führen zu höheren oder niedrigeren Schweregrad.
Client-Versionen von Windows
- Kritische — Schwachstellen, die ausgenutzt werden können, ohne Warnungen oder Eingabeaufforderungen ausgegeben. Beispiele sind remote Erhöhung von Berechtigungen-exploits, die es Angreifern ermöglichen, zum schreiben auf das Dateisystem oder die Ausführung beliebigen Codes ohne Interaktion des Benutzers.
- Wichtig — Das wichtigste Unterscheidungsmerkmal zwischen kritischen und wichtigen Schweregrad-ratings ist, dass die wichtigsten Sicherheitslücken ausgenutzt, die mit Warnungen oder Aufforderungen oder durch umfangreiche Maßnahmen ohne Aufforderung. Beispiele HIERFÜR sind lokale Eskalation von Privilegien nutzt, oder die Ausführung beliebigen Codes, setzt umfangreiche Benutzer-Aktion.
- Moderate — Moderate Schwachstellen können es einem Angreifer ermöglichen das abrufen von Informationen aus Systemen, z.B. durch eine nicht-verschlüsselte verbindungen oder IP-spoofing. Enthält auch einige denial-of-service-Angriffe.
- Niedrig — Den niedrigsten Schweregrad, auch zu Angriffen, die vorübergehender Natur sind, z.B. Denial-of-Service oder ändern von Daten, die nicht bleiben in den Sitzungen.
Server-Versionen von Windows
- Kritische — Server-Schwachstellen wie Netzwerk-Würmer, die Kompromittierung des Servers. Exampls gehören nicht autorisierten Zugriff auf Dateien und SQL-injection-Angriffe.
- Wichtig — Schwachstellen wie denial-of-service-Attacken oder die Erhöhung von Berechtigungen Angriffe, die nicht-Standard-oder für die, welche Schutzmaßnahmen vorhanden sind, können verhindern, dass kritische Szenarien.
- Moderate — Schwachstellen, erfordern in der Regel bestimmte Szenarien, an bestimmten stellen, oder andere Voraussetzungen.
- Niedrig — Offenlegung von Informationen und Manipulation, die spezifisch sind oder nicht ausgerichtet sind.
Microsoft Security Wartungs-Kriterien für Windows
Microsoft verriet in einem zweiten Dokument, wie es legt fest, Wann zu veröffentlichen, Sicherheits-updates für Sicherheitslücken.
Windows-Benutzer und-Administratoren wissen, dass Microsoft veröffentlicht Sicherheits-updates am zweiten Dienstag eines jeden Monats, und das ist die häufigste Zeit für den release. Einige Sicherheits-updates müssen umgehend freigelassen werden, statt; das ist der Fall für Sicherheitslücken, die aktiv ausgenutzt und auf der Skala. Andere Sicherheits-updates erhalten möglicherweise nicht sofort freigegeben oder während der Patch am Dienstag als Sie werden verschoben auf die nächste feature-update für eine bestimmte version von Windows.
Microsoft Security Wartungs-Kriterien für Windows-details der Prozess der Bestimmung, Wann release-patches. Zwei Fragen sind sehr wichtig, wenn es dazu kommt:
- Hat die Sicherheitsanfälligkeit gegen das Ziel oder die Absicht, eine Sicherheitsgrenze, oder ein Sicherheitsfeature?
- Hat der Schweregrad der Sicherheitsanfälligkeit erfüllen die bar für die Wartung?
Erstellt Microsoft Sicherheits-updates für Sicherheitslücken, wenn die Antwort auf beide Fragen ist ja. Wenn mindestens eine Antwort ist Nein, Microsoft kann verschieben das update auf die nächste version oder Version von Windows.
Das Dokument enthält Informationen über die Sicherheit von Grenzen, Funktionen und defense-in-depth security-features.
- Sicherheitsgrenze — Ein Sicherheits-Grenze stellt eine logische Trennung zwischen code-und Daten-security-domains mit verschiedenen Ebenen von Vertrauen
- Sicherheits-Features — Security-Funktionen bauen auf Sicherheit, Grenzen zu bieten robusten Schutz gegen bestimmte Gefahren.
- Defense-in-depth-Sicherheit-features – In einigen Fällen sogar ein Sicherheits-feature, bieten möglicherweise Schutz gegen eine Bedrohung, ohne in der Lage, um eine robuste Verteidigung. Diese Sicherheitsmerkmale sind in der Regel bezeichnet als defense-in-depth-Funktionen oder Korrekturen, denn Sie bieten zusätzliche Sicherheit, kann aber durch das design Einschränkungen, die verhindern, dass Sie vollständig mildernde eine Bedrohung
Schlusswort
Die beiden veröffentlichten Dokumente werfen ein Licht auf die Bewertung des Schweregrads Regelung, dass Microsoft verwendet, um zu klassifizieren, Schwachstellen und wie das Unternehmen legt fest, Wann zu produzieren Sicherheits-updates für Probleme und Wann die push-security-updates auf neuere Versionen von Windows. (über Günter Born)