Noll
Microsoft öppnade sina dörrar idag till forskning om säkerhet i samhället genom att släppa två dokument som i detalj hur företaget klassificerar och hanterar säkerhet buggar.
De dokument som sattes ihop under loppet av året av Microsoft Security Response Center (MSRC), den avdelning som tar emot och hanterar säkerhet-relaterade felrapporter till Microsoft.
Utkast av de två dokumenten släpptes för feedback för forskningen och det bredare säkerhetsbranschen tillbaka i juni. Den slutliga versioner, med en hel del ny information, som publicerades idag.
Också: Tesla ändrar produkten politik för att rymma “god tro” säkerhetsforskning
Den första av dessa handlingar är en webbsida som heter “Microsoft Security Service Kriterier för Windows.” Denna sida innehåller information om vilka typer av Windows-funktioner är vanligtvis nås via brådskande Patch tisdag säkerhetsuppdateringar, och vilka buggar som finns kvar till de viktigaste Windows-team ska vara fasta och rullade ut en del av bi-årliga Windows OS-uppdateringar.
Dokumentet delar upp allt i tre kategorier: säkerhet gränser, säkerhetsfunktioner, och defense-in-depth security funktioner.
Säkerhet gränser är vad Microsoft anser att ett klart brott mot data access-policy. Till exempel, en bugg-rapport som beskriver hur en icke-admin user mode process som får tillgång till kernel-läge och uppgifter kommer alltid att betraktas som en “säkerhet gränsen” i strid, i detta fall av “kärnan gränsen.” Microsoft listar nio säkerhet gränser — nätverk, kärnan, process, AppContainer sandlåda, användare, session, webbläsare, virtual machine, och den Virtuella Säkert Läge gränsen.
Säkerhetsfunktioner finns i felrapporterna i appar och andra OS funktioner att bygga för att stärka de här gränserna, såsom bugg rapporter i BitLocker, Windows Defender, Secure Boot och andra.
Felrapporterna för de första två är nästan hela tiden anses säkerhetsproblem som Microsofts team som ska försöka fixa via omedelbar korrigeringsfiler som ingår i den månatliga Patch-tisdag säkerhetsuppdateringar.
Även Forskare hittar nya malware uthållighet metod för att utnyttja Microsoft apps UWP
Den senare kategorin –försvar på djupet och säkerhetsfunktioner-är säkerhet funktioner som Microsoft anser inte att vara på samma nivå av robusthet som de två första kategorierna, men endast funktioner som ger “extra säkerhet.”
Defense-in-depth security funktioner är Kontroll av användarkonto (UAC) har, AppLocker, Address Space Layout Randomisering (ASLR), Kontroll av Flöde Guard (CFG) , och andra.
Felrapporter i försvar på djupet funktioner är vanligtvis inte nås via Patch-tisdag, men antecknade och servad senare ner linjen, om det behövs.
Vi kommer inte att återge hela dokumentet i denna artikel, men vi rekommenderar att gå och läsa om varje kategori och visa exempel här.
Dessutom: de Senaste Windows ALPC noll-dagen har varit utnyttjas i det vilda för nästan en vecka
Den andra dokument som Microsoft släppte i dag är en PDF-fil som beskriver hur Microsoft tilldelar svårighetsgrad ranking till felrapporter. I dokumentet beskrivs vad fel anses som Kritiska, vad är Viktigt, vad fel får de Moderata rang, och som är rankade Låg risk.
Till exempel, en bugg som gör obehörig åtkomst till filsystemet för att skriva data på disk anses Kritiska, medan en denial of service-fel som bara startar om en ansökan kommer alltid att betraktas som Låg risk.
Microsoft har kritiserats många gånger under de senaste åren för att inte fastställa vissa sårbarheter efter forskare som lämnats in felrapporter.
Syftet med dessa dokument var att klargöra saker och ting för säkerhet forskare, media, administratörer och vanliga användare. Precis som alla företag, MSRC har begränsade resurser, och detta dokument tar infosec samfundet i de förfaranden som Microsoft personal använda till rättegång och prioritera säkerheten brister.
“Vi förväntar oss att detta ska vara ett levande dokument som utvecklas över tiden och vi ser fram emot en fortsatt dialog med samhället om detta ämne,” säger Microsoft i dag.
Relaterade Ämnen:
Microsoft
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0