Wie Microsoft Bug-Reports ordnet und Verteilung von Patches plant

Wie Microsoft Bug-Reports ordnet und Verteilung von Patches plant

Microsoft
Microsoft hat jetzt erstmals transparent gemacht, wie man intern Sicherheitslücken einordnet. Das hat letztlich einen entscheidenden Einfluss darauf, wie schnell und in welcher Form Patches bereitgestellt werden. Die entsprechenden Dokumente sollen aber nicht nur der Information, sondern auch als Diskussionsgrundlage dienen. Im Kern wird jeder Bug-Report, der bei den Entwicklern in Redmond eingeht, anhand zweier Modelle klassifiziert. Das bekanntere Modell dürfte dabei die Einstufung in Risiko-Klassen sein. Ob eine Sicherheitslücke nun etwa als kritisch oder eher mittelmäßig angesehen wird, hängt dabei nicht unbedingt davon ab, wie schlimm der anzurichtende Schaden sein könnte - das ist immerhin eine sehr subjektive Sache. .


Vielmehr spielen hier technische Fragen die entscheidende Rolle. Bei Client-Anwendungen stellt sich das beispielsweise folgendermaßen dar: Kritisch: Bei nicht-autorisiertem Zugang zum Dateisystem, der Ausführbarkeit fremder Codes ohne größere Interaktion mit dem Nutzer oder auch die bei der Möglichkeit, Code aus einer Virtuellen Maschine auf das Host-System durchzuschleusen. Wichtig: Bei einer Ausführbarkeit von Code über die Interaktion mit dem Nutzer, bei der Erlangung von Schreibrechten über Buffer Overflows oder dem Lesen von Daten ohne vorliegende Zugriffsrechte. Mittel: Wenn Attacken vor allem destruktiver Natur sind, also beispielsweise Abstürze des kompletten Systems verursachen. Aber auch Fälle, bei denen Angreifer Informationen auslesen können, die an festgeschriebenen Stellen zu finden sind. Niedrig: Wenn lediglich die attackierte Anwendung zum Absturz gebracht werden kann. Oder auch Fälle, bei denen weitergehende Angriffe eingeleitet werden können, die aber nur funktionieren, indem der Anwender zu komplexeren Interaktionen verleitet wird.
Die hier genannten Beispiele stellen natürlich nur einen Teil der gesamten Klassifikationen dar. Im Security-Bereich gibt es immerhin unzählige Varianten, wie die Sicherheit eines Systems beeinträchtigt werden kann und auch wenn Microsoft bereits viele davon zusammengetragen hat, dürfte es in der Praxis immer wieder auch Fälle geben, in denen man nicht sofort zu einem eindeutigen Ergebnis kommt.
Patch-Day ....

Schreibe einen Kommentar

* Copy This Password *

* Type Or Paste Password Here *