Änderungen an der Klassifizierung von Sicherheitsinhalten in Hinweisen und Bulletins
Wir haben die Art und Weise geändert, wie wir Sicherheitsupdates klassifizieren, die sich auf Microsoft-Sicherheitshinweise und -Bulletins beziehen. Diese Änderung wird Unternehmensadministratoren dabei helfen, Updates, die Auswirkungen auf die Sicherheit haben, eindeutig zu identifizieren.
Diese Änderung ermöglicht Folgendes:
Wir können Security Bulletin-Updates, denen keine „MSRC-Schweregrad"-Einstufung zugewiesen wurde, genauer klassifizieren. Beispielsweise ist MS13-038: Sicherheitsupdate für Internet Explorer 9: 14. Mai 2013 keine Schweregradbewertung zugewiesen. Künftig wird die Einstufung „MSRC-Schweregrad" als „Nicht zugewiesen" eingestuft.
Wir können Sicherheitshinweis-Updates korrekt klassifizieren, die sich nicht auf eine Schwachstelle im Microsoft-Code beziehen, aber Auswirkungen auf die Sicherheit haben.
Bei solchen Sicherheitsproblemen können Kunden damit rechnen, dass die Bewertung „MSRC-Schweregrad" auf „Nicht zugewiesen" gesetzt wird. Kunden sollten sich außerdem darüber im Klaren sein, dass wir die Klassifizierung von Bulletins und Hinweisen, die vor Mai 2013 veröffentlicht wurden, nicht ändern werden.
Zuvor wurden sicherheitsrelevante Inhalte, die zusammen mit einer Sicherheitswarnung veröffentlicht wurden, als nicht sicherheitsrelevante Updates eingestuft, in der Regel mithilfe der Update-Klassifizierung „Kritisch". Künftig werden solche Inhalte als „Sicherheitsupdate" mit der Einstufung „MSRC-Schweregrad" als „Nicht zugewiesen" eingestuft. Dies kann für Unternehmensadministratoren Verwirrung stiften, die von der Sicherheitsempfehlung wissen, aber kein Sicherheitsupdate in ihren Microsoft Windows Server Update Services (WSUS)-Serverkonsolen sehen. Diese Änderung ermöglicht es Unternehmensadministratoren, Updates, die sich auf die Sicherheit auswirken, schneller zu identifizieren und Sicherheitsinhalte, die sich auf Sicherheitshinweise beziehen, effektiver zuzuordnen.
Auch Microsoft Security Bulletins können auf diese Weise klassifiziert werden. Beispielsweise können wir bei der Untersuchung einer Sicherheitslücke auf ein Szenario stoßen, in dem die Ausnutzung der Schwachstelle nachweislich eine Version eines Produkts betrifft, bei einem anderen Produkt, das ähnlichen Code verwendet, jedoch nicht ausgenutzt werden kann. In diesem Szenario werden wir wahrscheinlich proaktiv vorgehen und beide Produkte umfassend angehen. Für solche Probleme (d. h. Probleme, bei denen wir ein Update als Tiefenverteidigungsmaßnahme veröffentlichen) können wir die Pakete auch anhand der „MSRC-Schweregrad"-Einstufung „Nicht zugewiesen" klassifizieren.
No comments:
Post a Comment