Nul
Microsoft opende vandaag zijn deuren voor het veiligheidsonderzoek van de gemeenschap door het vrijgeven van twee documenten die in detail hoe de vennootschap classificeert en handgrepen security bugs.
De documenten werden in elkaar gezet in de loop van het jaar door het Microsoft Security Response Center (MSRC), het departement dat ontvangt en verwerkt de beveiliging-gerelateerde bug rapporten naar Microsoft.
De ontwerpen van de twee documenten werden vrijgegeven voor feedback voor het onderzoek gemeenschap en de bredere security-industrie weer in juni. De definitieve versies, met heel veel nieuwe informatie, werden vandaag gepubliceerd.
Ook: Tesla wijzigt product beleid om tegemoet “te goeder trouw” security research
De eerste van deze documenten is een web-pagina met de naam “Microsoft Security Onderhoud Criteria voor Windows.” Deze pagina bevat informatie over welke soorten Windows-onderdelen zijn meestal bereikbaar via urgente Patch dinsdag security updates, en wat bugs zijn links naar de belangrijkste Windows development team te worden vastgesteld en uitgerold deel van de bi-jaarlijkse Windows OS updates.
Het document splitst alles in drie categorieën: beveiliging van de grenzen, beveiliging en uitgebreide beveiligingsfuncties.
Beveiliging van de grenzen is wat Microsoft van mening is duidelijk schendingen van de data access-beleid. Bijvoorbeeld, een bug-rapport dat beschrijft hoe een niet-admin-gebruiker mode proces dat toegang krijgt tot de kernel-modus en worden de gegevens altijd beschouwd als een “veiligheidsgrens” overtreding, in dit geval van de “kernel grens.” Microsoft lijsten negen beveiliging grenzen — netwerk, kernel, proces, AppContainer sandbox -, gebruikers -, sessie -, web-browser, virtuele machine, en de Virtuele Veilige Modus grens.
Beveiligingsfuncties zijn bug-rapporten in apps en andere OS beschikt over bouwen aan het versterken van deze beveiliging grenzen, zoals bug-rapporten in BitLocker, Windows Defender, Secure Boot en anderen.
Bug reports voor de eerste twee zijn bijna de hele tijd beschouwd als beveiliging kwetsbaarheden die Microsoft team zal proberen vast te stellen via directe patches inbegrepen in de maandelijkse Patch Tuesday beveiligingsupdates.
Ook: de Onderzoeker vindt dat nieuwe malware-persistentie methode benutten Microsoft UWP apps
De laatste categorie –defense-in-depth beveiligingsfuncties– zijn beveiligingsfuncties dat Microsoft niet overwegen om op hetzelfde niveau van robuustheid als de eerste twee categorieën, maar alleen de functies die “extra zekerheid”.
Defense-in-depth beveiligingsfuncties bevatten de User Account Control (UAC) – functie, AppLocker, Address Space Layout Randomization (ASLR), Control Flow Guard (CFG) , en anderen.
Bug-rapporten in defense-in-depth functies zijn meestal niet bereikbaar via Patch-dinsdag, maar genoteerd en onderhouden later langs de lijn, als dat nodig is.
We zullen niet het reproduceren van de gehele document in dit artikel, maar wij raden gaan en te lezen over elke categorie en het bekijken van voorbeelden hier.
Ook: Recente Windows ALPC zero-day uitgebuit in het wild voor bijna een week
Het tweede document Microsoft heeft vandaag de dag is een PDF-bestand dat beschrijft hoe Microsoft wijst ernst klassement om bug reports. De details van het document wat bugs zijn die Kritiek beschouwd worden, wat Belangrijk is, wat bugs voor de Matige rang, en die zijn beoordeeld als Laag risico.
Bijvoorbeeld, een bug die het mogelijk maakt om onbevoegde toegang tot het bestandssysteem te schrijven van gegevens op de schijf wordt gezien als Kritiek, terwijl een denial of service-bug die alleen opnieuw een verzoek zal altijd worden beschouwd als een Laag risico.
Microsoft heeft bekritiseerd vele malen in de afgelopen jaren niet voor de vaststelling van bepaalde kwetsbaarheden nadat de onderzoekers ingediend bug reports.
Het doel van deze documenten was om dingen te verduidelijken voor de beveiliging onderzoekers, de media, de systeembeheerders en de regelmatige gebruikers. Net zoals elk bedrijf, de MSRC heeft beperkte middelen, en dit document wordt de infosec gemeenschap binnen de procedures van Microsoft stafleden gebruik van het proces en de prioriteit van beveiligingsfouten.
“We verwachten dat dit een levend document dat evolueert in de tijd en we kijken uit naar de voortzetting van de dialoog met de samenleving over dit onderwerp,” Microsoft zegt vandaag de dag.
Verwante Onderwerpen:
Microsoft
Beveiliging TV
Data Management
CXO
Datacenters
0