Microsoft detalla como determina la severidad de las vulnerabilidades encontradas en Windows
A través de un detallado documento, la gente de Microsoft ha indicado los métodos que usan para determinar tanto la severidad de las vulnerabilidades encontradas como de la prioridad para ser corregidas mediante las actualizaciones mensuales que la compañía lanza a las ediciones soportadas de Windows tanto en cliente como en servidor.
Estos son los métodos usados por Microsoft para determinar la severidad de las vulnerabilidades encontradas en su principal producto Windows:
Para las ediciones clientes:
- Críticas – Las vulnerabilidades pueden ser explotadas sin notificar ni requerir interacción alguna por parte del usuario. Los ejemplos mas usuales de estas vulnerabilidades son las de tipo de elevación de privilegios y la ejecución de código malicioso sin necesidad de interacción por parte del usuario.
- Importante – Se tratan de vulnerabilidades que para ser explotadas requieren ya sea de interacción por parte del usuario o por acciones extensivas. Un ejemplo típico de estas vulnerabilidades suelen ser las de tipo de escalación de privilegios local y/o mediante la ejecución de un exploit.
- Moderada – Son vulnerabilidades que permitirían a un atacante, hacerse con información delicada del usuario. Un ejemplo típico donde se suelen localizar estas vulnerabilidades son en las conexiones sin cifrar
- Baja – Son las vulnerabilidades que afectan a un sistema de manera temporal como por ejemplo, los ataques de denegación de servicio (ddos)
Para las ediciones de servidor:
- Críticas Vulnerabilidades encontradas en redes infectadas las cuales pondrían en severo riego el servidor y permitirían sin problemas a un atacante, inyectar código malicioso SQL y/o acceder a archivos muy sensibles del sistema
- Importante – Son las vulnerabilidades que podrían provocar severos ataques de Denegación de servicio (ddos) o escalación de privilegios por parte de un atacante
- Moderada . Vulnerabilidades que requieren de escenarios específicos, locaciones específicas o algún pre-requisito para poder explotarla.
- Baja – Vulnerabilidades que permiten divulgar información específica.
En cuanto al criterio que la compañía usa para determinar si es urgente o no aplicar un arreglo a determinada vulnerabilidad encontrada, básicamente se basan en dos preguntas claves:
– ¿Viola la vulnerabilidad el objetivo o la intención de un límite de seguridad o una característica de seguridad?
– ¿La gravedad de la vulnerabilidad pasa por sobre la barrera del servicio de seguridad del sistema?
La respuesta dependerá si el arreglo debe aplicarse de manera extraordinaria saltándose el ciclo mensual de actualizaciones, en el próximo ciclo de actualizaciones mensual o si puede posponerse a futuros ciclos de actualizaciones.
Puedes conocer todos los detalles sobre estas metodologías usadas por Microsoft en cuanto a la determinación de la gravedad de las vulnerabilidades encontradas en sus sistemas operativos, remitiéndote al documento publicado por ellos.
Vía: Ghacks