微軟首次披露視窗安全漏洞分類細節
至頂網安全頻道 09月12日 編譯: 近日,微軟面向安全研究社群釋出了兩個文件,詳細說明了微軟如何對安全漏洞進行分類及處理。微軟安全響應中心(MSRC)在一年裡將這些檔案整合在一起。MSRC是微軟旗下接收和處理微軟安全相關錯誤報告的部門。
兩份文件的草稿此前曾於六月釋出過,目的是蒐集安全研究界和各安全行業的反饋。今天釋出的的最終版本包含了大量新資訊。
第一個文件是個名為“微軟視窗安全服務標準”的網頁(https://aka.ms/windowscriteria)。該頁面提供的資訊包括通常通過緊急“週二補丁”安全更新提供的視窗功能的補丁型別以及將留待視窗主開發團隊修復並在兩年一度的視窗作業系統更新裡推出的補丁。
文件的內容分為三類:安全邊界、安全功能和深度防禦安全功能。
安全邊界是那些微軟認為明顯違反資料訪問策略的內容。例如,一個錯誤報告描述了非管理員使用者模式程序如何獲取核心模式和資料訪問許可權,該錯誤將被視為“安全邊界”違規,在此情況下屬“核心邊界”。微軟列出了九個安全邊界:網路、核心、程序、AppContainer沙箱、使用者、會話、網路瀏覽器、虛擬機器和虛擬安全模式邊界。
安全功能是應用程式和其他在作業系統里加強安全邊界功能的錯誤報告,例如BitLocker、Windows Defender、安全啟動等等的錯誤報告。
前兩個錯誤報告幾乎都是被界定為安全漏洞,微軟團隊將通過每月的“週二補丁”安全更新的即時補丁嘗試修復這些漏洞。
後一類安全功能是深度防禦安全功能,這些安全功能是微軟認為魯棒性和前兩個類別不在一個層次上,只是提供“額外安全性”的功能。
深度防禦安全功能包括使用者帳戶控制(UAC)功能、AppLocker、地址空間佈局隨機化(ASLR)、控制流保護(CFG)等。
深度防禦功能裡的錯誤報告通常不會通過週二補丁提供補丁服務,而是會被記錄下來,稍後在有需要時以後提供補丁。
我們不會將整個文件過一遍,但我們建議讀者閱讀文件裡列出的各個類別及檢視示例。
微軟今天釋出的第二份檔案是個PDF文件(https://aka.ms/windowsbugbar),該文件描述了微軟如何將錯誤報告按嚴重性分級排名。該文件詳細說明了哪些錯誤被列為嚴重、哪些被列為重要、哪些被列為中等以及哪些被列為低風險。
例如,未經授權訪問檔案系統而可在磁碟上寫入資料的錯誤被列為嚴重錯誤,而僅僅重啟應用程式的拒絕服務錯誤就會被列為低風險錯誤。
微軟在過去幾年裡多次被批評未能在研究人員提交錯誤報告後及時修復某些漏洞。
這些文件的目的是向安全研究人員、媒體、系統管理員和普通使用者澄清整個事情。MSRC的資源也像別的公司一樣是有限的,該文件令資訊保安社群可以一窺微軟工作人員在審視和優先考慮安全漏洞時用到的流程。
微軟表示,“我們希望這份文件會成為隨著時間的推移而不斷髮展的‘活’檔案,我們期待持續就此話題與安全社群進行對話。”