Microsoft объяснила свой принцип классификации уязвимостей

[душман]

Компания Microsoft впервые за всю историю приоткрыла завесу над тем, как она классифицирует уязвимости в Windows. В понедельник, 10 сентября, Центр реагирования на проблемы безопасности Microsoft (Microsoft Security Response Center, MSRC) опубликовал два документа, в которых описываются внутренние процедуры, использующиеся сотрудниками компании для классификации и приоритизации уязвимостей.

MSRC предоставил сообществу исследователей безопасности черновики документов еще в июне. Окончательные версии, содержащие много новой информации, были опубликованы вчера.

Первый документ представляет собой web-страницу под названием Microsoft Security Servicing Criteria for Windows. Здесь содержится информация о том, какие функции Windows обычно обслуживаются через ежемесячные плановые обновления, а какие отправляются главной команде разработчиков Windows для добавления в полугодовые обновления.

Второй документ – это PDF-файл, описывающий процедуру определения опасности уязвимостей, о которых сообщают исследователи. Документ объясняет, какие уязвимости могут считаться критическими, а какие – важными, средней важности и маловажные.