A Microsoft publicou recentemente sua documentação que mostra como vulnerabilidades são classificadas e os critérios que levam à decisão sobre sua correção.
A documentação é voltada para profissionais que trabalham com segurança.
Microsoft publica documentação que mostra como vulnerabilidades são classificadas
A primeira parte do documento Microsoft Security Servicing Criteria for Windows mostra como a Microsoft define os critérios em torno dos limites de segurança, recursos e mitigações no Windows.
Os critérios usados pela Microsoft sobre a publicação de uma atualização de segurança ou de informações sobre uma vulnerabilidade reportada envolvem a resposta para duas perguntas:
– A vulnerabilidade viola o objetivo ou intenção de um limite de segurança ou um recurso de segurança?
– A severidade da vulnerabilidade atende os critérios de classificação definidos?
Se a resposta for sim para ambas, a Microsoft corrigirá a vulnerabilidade com uma atualização de segurança e fornecerá informações aplicáveis aos produtos suportados.
A documentação também aborda os chamados limites de segurança, que fornecem uma separação lógica entre o código e dados de domínios de segurança com diferentes níveis de confiança. Por exemplo, a separação entre o modo kernel e o modo de usuário é um limite de segurança simples e clássico.
Em um post publicado no blog Security Research & Defense, a Microsoft explica o motivo para disponibilizar esta documentação publicamente. Basicamente o objetivo da empresa é ser mais transparente com os pesquisadores de segurança e com seus cliente.
Confira a documentação na íntegra aqui.
O post Microsoft publica documentação que mostra como vulnerabilidades são classificadas apareceu primeiro em BABOO.
Artigo original:
www.baboo.com.br