微軟發(fā)布關(guān)鍵Windows公告 改變可利用系數(shù)
微軟在上周四針對用戶發(fā)布關(guān)鍵Windows公告,五月份的補(bǔ)丁計(jì)劃比較簡單,將在‘補(bǔ)丁星期二’發(fā)布兩個(gè)公告,其中一個(gè)為“危急”,解決Windows中的一個(gè)漏洞問題。
微軟表示,該危急公告解決的Windows漏洞對Windows Server 2003,2008和2008 r2都有影響。第二個(gè)公告定級為“重要”,解決了兩個(gè)漏洞,這兩個(gè)漏洞存在于微軟PowerPoint 2002,2003和2007版本以及針對Mac平臺的Office 2004和2008版本中。公告已定于美國時(shí)間5月10日發(fā)布。
可利用系數(shù)(Exploitability Index)的改變
此外,微軟還宣布改變其可利用系數(shù),旨在幫助IT管理員安排好補(bǔ)丁實(shí)施的優(yōu)先級。該指數(shù)的數(shù)值,根據(jù)補(bǔ)丁發(fā)布頭30天功能開發(fā)代碼出現(xiàn)的可能性而定。
更改后的指數(shù)將包括兩個(gè)指標(biāo)來評價(jià)每個(gè)漏洞,可為最新的平臺和舊版本的軟件打分定級。高級安全程序經(jīng)理Maarten Van Horenbeeck,在微軟安全響應(yīng)中心的博客中寫道,改變指數(shù)的目的,是為了將漏洞評估變得對用戶而言更清晰和更易懂。
“這一改變,使用戶更容易在最新的平臺上,確定微軟新產(chǎn)品中提供的額外安全措施和功能帶給他們的風(fēng)險(xiǎn)。”Van Horenbeeck寫道,“在以前的系統(tǒng)下,所有的產(chǎn)品版本只有一個(gè)總的漏洞評級。”
Van Horenbeeck表示,在開源系統(tǒng)中比如地址空間布局隨機(jī)化(ASLR),數(shù)據(jù)執(zhí)行保護(hù)(DEP)和其他幫助阻止漏洞利用的技術(shù)中,可利用系數(shù)被批評說沒有將更多最近的措施考慮在內(nèi)。比如在Windows XP中,ASLR不是默認(rèn)部署的。
拒絕服務(wù)的風(fēng)險(xiǎn)
改變后的可利用系數(shù)還將拒絕服務(wù)攻擊(denial-of-service,DoS)帶來的風(fēng)險(xiǎn)考慮在內(nèi),拒絕服務(wù)攻擊會導(dǎo)致系統(tǒng)停止響應(yīng)或崩潰。該指數(shù)將表明一個(gè)DoS攻擊是否是“永久”的,是否會使一個(gè)程序或操作系統(tǒng)崩潰,以及是否在攻擊中無法響應(yīng)。
Van Horenbeeck表示,“對于面向服務(wù)的互聯(lián)網(wǎng)管理員來說,一個(gè)高危的漏洞和一個(gè)不重要的漏洞是有區(qū)別的。”
在過去八個(gè)月可利用系數(shù)的評級中,微軟發(fā)現(xiàn),一共有256個(gè)評級,其中97個(gè)為不太嚴(yán)重或?qū)π掳姹井a(chǎn)品不使用。有七個(gè)例子可以證明是最新的產(chǎn)品版本受到影響,而舊版本不會受到影響。
漏洞管理廠商Lumension安全公司的安全和法證分析主任Paul Henry表示,改變后的指數(shù)增強(qiáng)了一個(gè)評估工具能力,該工具對那些需要微調(diào)優(yōu)先事項(xiàng)的管理員來說已經(jīng)很有用。
Henry在一封電子郵件中寫道,“微軟在業(yè)界在補(bǔ)丁的背景信息方面已經(jīng)做得很好,現(xiàn)在他們又開始邁向另一個(gè)缺口。”
【編輯推薦】