微軟首次公開Windows漏洞的分類和處理方式
責編:gltian |2018-09-21 14:20:32近日,微軟首次向安全研究界公開發布了兩份文件,詳細介紹了其對Windows安全漏洞的分類和處理方式。
這些文件是由微軟安全響應中心(MSRC)在過去一年中編輯整合而成,所謂“微軟安全響應中心(MSRC)”是負責接收和處理微軟安全相關漏洞報告的一個部門。
據悉,這兩份文件的草稿已于今年6月份發布,目的是收集安全研究界和更廣泛的安全行業的反饋信息。而本周一發布的則是包含大量最新信息的最終版本。
第一個文件是名為“微軟的Windows安全服務標準”的網頁。該頁面涵蓋的主要信息包括:哪些類型的Windows功能通常通過緊急的“周二補丁日”(Patch Tuesday)提供安全更新服務,以及哪些漏洞留給Windows主開發團隊修復并在一年兩次(bi-annual)的Windows操作系統更新中推出。
該文件將所有內容分為3大類:安全邊界、安全功能以及縱深防御(defense-in-depth)安全功能。
其中,安全邊界是那些微軟認為明顯違反數據訪問策略的內容。例如,一個錯誤報告描述了非管理員用戶模式進程如何獲取內核模式和數據訪問權限,該錯誤將被視為“安全邊界”違規,在此情況下屬“內核邊界”。Microsoft列出了九個安全邊界——網絡、內核、進程、AppContainer沙箱、用戶、會話、Web瀏覽器、虛擬機以及虛擬安全模式邊界。
安全功能是應用程序和其他在操作系統里加強安全邊界功能的漏洞報告,例如BitLocker、Windows Defender、Secure Boot等中的漏洞報告。
前兩個的漏洞報告幾乎都是被界定為“安全漏洞”,微軟團隊將通過每月的“周二補丁日”安全更新的即時補丁嘗試修復這些漏洞。
最后一類——深度防御(defense-in-depth)安全功能,是微軟認為魯棒性(robustness)和前兩個類別不在一個層次上,只是提供“額外安全性”的功能。深度防御安全功能包括用戶帳戶控制(UAC)功能、AppLocker、地址空間布局隨機化(ASLR)、控制流保護(CFG)等等。
深度防御功能里的錯誤報告通常不會通過“周二補丁”提供更新服務,而是會被記錄下來,并在稍后有需要的時候再提供補丁。
微軟發布的第二份文件是一個PDF文檔,該文檔描述了微軟如何將錯誤報告按嚴重性分級排名。該文檔詳細說明了哪些錯誤被評為嚴重、哪些被評為重要、哪些被評為中等以及哪些被評為低風險。
例如,允許未經授權訪問文件系統并在磁盤上寫入數據的錯誤被列為嚴重漏洞,而僅僅重啟應用程序的拒絕服務錯誤就始終被視為低風險漏洞。
在過去幾年里,微軟多次被批評未能在研究人員提交漏洞報告后及時修復某些漏洞。
這些文檔的目的是為安全研究人員、媒體、系統管理員以及普通用戶澄清整個事情。就像其他任何公司一樣,微軟安全響應中心(MSRC)的資源也十分有限,該文檔使信息安全社區可以深入了解微軟工作人員在審視和確定安全漏洞優先級時所用到的流程。
對于發表的這兩份文件,微軟方面表示,我們希望這份文檔會成為隨著時間的推移而不斷發展的‘活’文件,我們期待繼續就此話題與安全社區進行對話。
關于微軟公布的其對Windows安全漏洞的分類和處理方式原文地址:
https://www.microsoft.com/en-us/msrc/windows-security-servicing-criteria?rtc=1
https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE2A3xt