O compromisso de proteger os clientes contra vulnerabilidades nos softwares, serviços e dispositivos Microsoft inclui o fornecimento de atualizações de segurança e orientações que abordam vulnerabilidades quando elas são reportadas à Microsoft.
A Microsoft também quer ser transparentes com os pesquisadores de segurança e os clientes nessa abordagem. Assim, vem a publico um documento que ajuda a descrever os critérios usados pelo MSRC (Microsoft Security Response Center) para determinar se uma vulnerabilidade reportada afeta versões atualizadas e atualmente suportadas do Windows e se pode ser resolvida por meio de manutenção ou na próxima versão do Windows. Para vulnerabilidades no Windows, a manutenção assume a forma de uma atualização de segurança ou orientação aplicável, geralmente lançada na terça-feira de atualização (segunda terça-feira de cada mês).
Para vulnerabilidades no Windows, a manutenção assume a forma de uma atualização de segurança ou orientação aplicável, geralmente lançada na terça-feira de atualização (segunda terça-feira de cada mês).
Critérios de manutenção de segurança
O critério usado pela Microsoft ao avaliar se deve fornecer uma atualização de segurança ou orientação para uma vulnerabilidade relatada envolve responder a duas perguntas principais:
- A vulnerabilidade viola a meta ou a intenção de um limite de segurança ou um recurso de segurança?
- A gravidade da vulnerabilidade atende à documentação de serviço? https://aka.ms/windowsbugbar
Se a resposta a ambas as perguntas for sim, a intenção da Microsoft é abordar a vulnerabilidade por meio de uma atualização de segurança e / ou orientação aplicável a ofertas afetadas e com suporte comercialmente razoáveis.
Se a resposta a uma dessas perguntas for não, a vulnerabilidade será considerada para a próxima versão ou release do Windows, mas não será abordada por meio de uma atualização ou orientação de segurança, embora exceções possam ser feitas.
Este documento aborda as vulnerabilidades mais comumente relatadas, mas como a segurança é um cenário em constante evolução, pode haver vulnerabilidades não cobertas por esse critério ou os critérios podem ser adaptados devido a alterações no cenário de ameaças. A Microsoft elimina vulnerabilidades com base no risco que elas representam para os clientes e pode, a qualquer momento, optar por abordar ou não os relatórios com base no risco avaliado.
Seja o primeiro a comentar