微软的漏洞怎么修? 补丁标准被公布
|
面对日常漏洞维护,微软有怎样的流程呢?近日其终于向外界发布了对此的安全保障草案,来说明微软是如何评估是否修补漏洞并提供安全更新标准的,方便安全社区人员提交漏洞或期待微软回应时参考使用。
作为是否为新发现的漏洞打补丁,微软表示有两个关键点要考察。比如,该漏洞是否危及微软承诺要维护的安全边界或安全功能,以及漏洞的严重性是否符合维护条件。如果两个答案都是肯定的,那么微软即会进行安全更新,如果是否定的,那么微软会考虑于在新版本里进行修补。 微软所指的安全边界是在有不同信赖程度的程序代码与信息安全领域上的逻辑分离。举例来说,核心模式与使用者模式之间就存在着安全边界,微软于软件中设定了许多安全边界以隔离网络上的设备、隔离虚拟机器,或是隔离装置上的应用程序等。 迄今微软已定义了8个安全边界,包括不允许未授权的网络终端访问或篡改客户设备的网络边界、禁止非管理员权限访问或篡改核心程序与数据的核心边界、禁止非授权用户访问或篡改其它程序的程序边界、禁止基于AppContainer的沙箱程序访问或篡改沙箱外程序代码与数据的AppContainer沙箱边界、一名用户的登入期间不得被其它未授权的用户登入期间所访问或篡改的期间边界、禁止未授权网站违反同源政策的浏览器边界、禁止未授权Hyper-V虚拟机器访问或篡改其它虚拟机器的程序代码或数据的虚拟机器边界,以及禁止VSM Trustlet或Enclave内部数据或程序遭到外部程序访问或篡改的虚拟安全模式边界。 至于在安全功能上则有7项,它们分别是装置安全(BitLocker与Secure Boot)、平台安全(Windows Defender System Guard)、应用程序安全(Windows Defender Application Control)、身份及访问控制(Windows Hello /Biometrics与Windows Resource Access Control)、加密API、设备健康证明(Host Guardian Service)与身份验证协议(Authentication Protocols)。 上述可用来侵犯安全边界或安全功能的漏洞都将被微软列为修补与安全更新的对象。 不过,微软特别强调有些安全功能在未经承诺下也提供了威胁防护能力,微软将这些功能称之为深度防御功能(defense-in-depth)或缓解。由于它们是额外的安全功能,且有设计上的限制,因此微软并未提供安全上的保证,此外其还表示就算绕过这些功能也不会带来直接的威胁。因为不管如何,不法黑客都必须先找到一个可以危及安全边界的漏洞,或是依靠社交工程手段才能危害终端。 (编辑:济南站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
