par Martin Brinkmann sur le 11 septembre, en 2018, Windows – Dernière mise à Jour: 11 septembre 2018 – Pas de commentaires
Microsoft a publié deux liées à la sécurité des documents récemment qui décrivent la manière dont la société détermine le niveau de gravité des vulnérabilités et de la façon dont il décide de libérer les mises à jour.
Le premier document, Microsoft Vulnérabilité Classification de la Sévérité de pour Windows, répertorie les informations que Microsoft Security Response Center utilise pour classer la gravité des problèmes de sécurité communiqué à la société ou trouvés par les employés de l’entreprise.
Microsoft fait la distinction entre le serveur et le client systèmes, et classe les vulnérabilités en conséquence.
Certains de la vulnérabilité ou de l’attaque des caractéristiques peut entraîner la hausse ou à la baisse des indices de gravité.
Client les versions de Windows
- Critique — Vulnérabilités qui peuvent être exploitées sans avertissements ou des instructions. Les exemples incluent distance élévation de privilèges d’exploits qui permettent à des attaquants d’écrire sur le système de fichiers, ou d’exécuter du code arbitraire sans interaction de l’utilisateur.
- Important — Le principal facteur de distinction entre l’essentiel et l’important degré de gravité est si important que les vulnérabilités sont exploitées avec des avertissements ou des invites, ou par de nombreuses actions sans invite. Les exemples incluent des locaux d’escalade de privilège d’exploits ou de l’exécution de code arbitraire qui exige une longue action de l’utilisateur.
- Modéré — Modérée de vulnérabilité peut permettre à un attaquant de récupérer des informations à partir des systèmes, par exemple par le biais de non-connexions chiffrées ou d’usurpation d’identité. Comprend aussi quelques attaques par déni de service.
- Faible — Le plus bas taux de sévérité de inclut les attaques qui sont de nature temporaire, par exemple de Déni de Service ou modification de données qui ne persistent pas à travers des sessions.
Les versions serveur de Windows
- Critique — Server vulnérabilités telles que les vers de réseau que compromettre le serveur. Exampls incluent l’accès de fichier non autorisé et les attaques par injection SQL.
- Important — Vulnérabilités telles que les attaques par déni de service ou d’élévation de privilèges d’attaques qui ne sont pas par défaut ou pour lesquels des mesures d’atténuation qui peuvent empêcher les scénarios.
- Modéré — Vulnérabilités qui nécessitent généralement des scénarios spécifiques, des lieux spécifiques, ou d’autres conditions préalables.
- Faible — divulgation de l’Information et de la falsification qui sont spécifiques ou non ciblées.
Microsoft Security Entretien des Critères pour Windows
Microsoft a révélé dans un second document de la façon dont il détermine le moment de publier des mises à jour de sécurité pour les vulnérabilités.
Les utilisateurs de Windows et administrateurs de savoir que Microsoft publie des mises à jour de sécurité sur le deuxième mardi de chaque mois et qui est la plupart du temps commun pour la libération. Certaines mises à jour de sécurité doivent être libérés immédiatement à la place; c’est le cas de failles qui sont exploitées activement et à grande échelle. D’autres mises à jour de sécurité ne peut pas sortir immédiatement ou au cours de Patch Tuesday comme ils sont reportés à la prochaine mise à jour pour une version particulière de Windows.
Microsoft Security Entretien des Critères pour Windows en détails le processus de déterminer le moment de la libération des correctifs. Deux questions sont très importantes quand il s’agit de:
- La vulnérabilité de violer le but ou l’intention d’une limite de sécurité ou un dispositif de sécurité?
- La gravité de la vulnérabilité de répondre à la barre pour l’entretien?
Microsoft crée des mises à jour de sécurité pour vulnérabilités si la réponse aux deux questions est oui. Si au moins une réponse est non, Microsoft peut différer la mise à jour de la prochaine version de Windows.
Le document fournit des informations sur les limites de sécurité, de fonctionnalités, et de la défense en profondeur des fonctions de sécurité.
- Limite de sécurité — d’Une limite de sécurité fournit une logique de séparation entre le code et les données de sécurité domaines, avec différents niveaux de confiance
- Les Fonctionnalités de sécurité — Sécurité fonctionnalités basées sur les limites de sécurité pour offrir une protection fiable contre les menaces spécifiques.
- Défense en profondeur des fonctions de sécurité — Dans certains cas, une fonction de sécurité peut fournir une protection contre une menace sans être en mesure de fournir une défense solide. Ces fonctions de sécurité sont généralement appelé ” défense en profondeur des caractéristiques ou mesures d’atténuation, car ils fournissent une sécurité supplémentaire, mais peut avoir des limites en matière de conception qui les empêchent de pleinement à atténuer une menace
Le Mot De La Fin
Les deux documents publiés jeter quelque lumière sur la sévérité de régime que Microsoft utilise pour classer des vulnérabilités et de la façon dont la société détermine le moment de produire des mises à jour de sécurité pour des questions de et quand de pousser les mises à jour vers des versions plus récentes de Windows. (par Günter Né)