Zero
Microsoft ha aperto le sue porte oggi, con la sicurezza di una comunità di ricerca attraverso il rilascio di due documenti che descrivono in dettaglio come le società di classifica e maniglie bug di sicurezza.
I documenti sono stati messi insieme nel corso dell’anno da Microsoft Security Response Center (MSRC), il reparto che riceve e gestisce bug riguardanti la sicurezza di Microsoft.
Le bozze dei due documenti che sono stati rilasciati per il feedback, per la comunità di ricerca e, in generale, del settore della sicurezza in giugno. La versione finale, con un bel po ‘ di nuove informazioni, sono stati pubblicati oggi.
Anche: Tesla modifica la politica di prodotto per ospitare la “buona fede” ricerca in materia di sicurezza
Il primo di questi documenti è di una pagina web denominata “Microsoft Security Manutenzione Criteri per Windows.” Questa pagina contiene informazioni su quali tipi di funzionalità di Windows di solito sono servite via urgente il martedì delle Patch aggiornamenti di sicurezza, e quali bug sono di sinistra per le Finestre principali del team di sviluppo per essere risolti e srotolato parte del bi-annuale di Windows gli aggiornamenti del sistema operativo.
Il documento si divide tutto in tre categorie: i confini della sicurezza, caratteristiche di sicurezza e di difesa in profondità le caratteristiche di sicurezza.
Limiti di sicurezza è ciò che Microsoft ritiene chiare violazioni dei dati, i criteri di accesso. Per esempio, un bug report che viene descritto come un non-admin processo in modalità utente che ottiene l’accesso alla modalità kernel e i dati saranno sempre considerato un “limite di sicurezza” violazione, in questo caso del kernel di confine.” Microsoft elenca nove limiti di sicurezza — rete, kernel, processo, AppContainer sandbox, utente, la sessione del browser web, la macchina virtuale e Virtuale in Modalità Sicura, di confine.
Le funzioni di sicurezza sono segnalazioni di bug in app e altre caratteristiche del sistema operativo costruire per rafforzare questi limiti di sicurezza, come ad esempio le segnalazioni di bug in BitLocker di Windows Defender, Secure Boot, e altri.
Segnalazioni di Bug per i primi due sono quasi tutto il tempo considerato vulnerabilità di sicurezza che il team di Microsoft cercherà e correzione immediata la patch in Patch mensile martedì aggiornamenti di sicurezza.
Anche: Ricercatore trova nuovi malware persistenza metodo sfruttando Microsoft UWP apps
L’ultima categoria –difesa in profondità le caratteristiche di sicurezza– funzioni di sicurezza che Microsoft non ritiene di essere sullo stesso livello di robustezza come le prime due categorie, ma solo funzioni che forniscono un’ulteriore protezione.”
Difesa in profondità le caratteristiche di sicurezza includono il Controllo Account Utente (UAC), AppLocker, Address Space Layout Randomization (ASLR), il Controllo del Flusso di Guardia (CFG) , e altri.
Segnalazioni di Bug in difesa in profondità, caratteristiche che di solito non sono servite via Patch di martedì, ma l’informazione e servite in seguito lungo la linea, se necessario.
Non possiamo riprodurre l’intero documento in questo articolo, ma vi consiglio di andare e la lettura di ogni categoria e la visione di esempi qui.
Anche: Recente di Windows ALPC zero-day è stata sfruttata per quasi una settimana
Il secondo documento, Microsoft ha rilasciato oggi è un file PDF che viene descritto come Microsoft assegna gravità classifiche per le segnalazioni di bug. I dettagli del documento che i bug sono considerati Critici, ciò che è Importante, ciò che bug ottenere il Moderato grado, e che sono classificati a Basso rischio.
Per esempio, un bug che permette l’accesso non autorizzato ai file di sistema per scrivere i dati sul disco è considerato Critico, mentre un attacco di negazione del servizio bug che riavvia solo un’applicazione, sarà sempre considerato a Basso rischio.
Microsoft è stato criticato tante volte negli ultimi anni per non correggere alcune vulnerabilità dopo i ricercatori presentate le segnalazioni di bug.
Lo scopo di questi documenti era quello di chiarire le cose per i ricercatori di sicurezza, i media, gli amministratori di sistema e gli utenti normali turisti. Come ogni impresa, il MSRC ha risorse limitate, e questo documento prende infosec comunità all’interno delle procedure di Microsoft staff di utilizzare per la prova e la priorità delle falle di sicurezza.
“Ci aspettiamo che questo è un documento vivo che si evolve nel tempo e ci auguriamo di poter continuare il dialogo con la comunità su questo argomento,” Microsoft ha detto oggi.
Argomenti Correlati:
Microsoft
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0