微軟首次披露視窗安全漏洞分類細節

至頂網安全頻道 09月12日 編譯：近日，微軟麵向安全研究社區發布了兩個文檔，詳細說明了微軟如何對安全漏洞進行分類及處理。微軟安全響應中心（MSRC）在一年裏將這些文件整合在一起。MSRC是微軟旗下接收和處理微軟安全相關錯誤報告的部門。

兩份文檔的草稿此前曾於六月發布過，目的是搜集安全研究界和各安全行業的反饋。今天發布的的最終版本包含了大量新信息。

第一個文檔是個名為“微軟視窗安全服務標準”的網頁（https://aka.ms/windowscriteria）。該頁麵提供的信息包括通常通過緊急“周二補丁”安全更新提供的視窗功能的補丁類型以及將留待視窗主開發團隊修複並在兩年一度的視窗操作係統更新裏推出的補丁。

文檔的內容分為三類：安全邊界、安全功能和深度防禦安全功能。

安全邊界是那些微軟認為明顯違反數據訪問策略的內容。例如，一個錯誤報告描述了非管理員用戶模式進程如何獲取內核模式和數據訪問權限，該錯誤將被視為“安全邊界”違規，在此情況下屬“內核邊界”。微軟列出了九個安全邊界：網絡、內核、進程、AppContainer沙箱、用戶、會話、網絡瀏覽器、虛擬機和虛擬安全模式邊界。

安全功能是應用程序和其他在操作係統裏加強安全邊界功能的錯誤報告，例如BitLocker、Windows Defender、安全啟動等等的錯誤報告。

前兩個錯誤報告幾乎都是被界定為安全漏洞，微軟團隊將通過每月的“周二補丁”安全更新的即時補丁嚐試修複這些漏洞。

後一類安全功能是深度防禦安全功能，這些安全功能是微軟認為魯棒性和前兩個類別不在一個層次上，隻是提供“額外安全性”的功能。

深度防禦安全功能包括用戶帳戶控製（UAC）功能、AppLocker、地址空間布局隨機化（ASLR）、控製流保護（CFG）等。

深度防禦功能裏的錯誤報告通常不會通過周二補丁提供補丁服務，而是會被記錄下來，稍後在有需要時以後提供補丁。

我們不會將整個文檔過一遍，但我們建議讀者閱讀文檔裏列出的各個類別及查看示例。

微軟今天發布的第二份文件是個PDF文檔（https://aka.ms/windowsbugbar），該文檔描述了微軟如何將錯誤報告按嚴重性分級排名。該文檔詳細說明了哪些錯誤被列為嚴重、哪些被列為重要、哪些被列為中等以及哪些被列為低風險。

例如，未經授權訪問文件係統而可在磁盤上寫入數據的錯誤被列為嚴重錯誤，而僅僅重啟應用程序的拒絕服務錯誤就會被列為低風險錯誤。

微軟在過去幾年裏多次被批評未能在研究人員提交錯誤報告後及時修複某些漏洞。

這些文檔的目的是向安全研究人員、媒體、係統管理員和普通用戶澄清整個事情。MSRC的資源也像別的公司一樣是有限的，該文檔令信息安全社區可以一窺微軟工作人員在審視和優先考慮安全漏洞時用到的流程。

微軟表示，“我們希望這份文檔會成為隨著時間的推移而不斷發展的‘活’文件，我們期待持續就此話題與安全社區進行對話。”