Microsoft описала, какие уязвимости не будет исправлять
15.06.2018
Microsoft опубликовала документ "Security Servicing Commitments for Windows" ("Обязательства по обеспечению безопасности для Windows"), в котором компания рассказала о своих обязательствах касательно исправления уязвимостей в операционной системе. В частности, в документе описано, какие именно проблемы программисты Microsoft будут исправлять, а какие останутся без внимания.
Документ призван дать экспертам по кибербезопасности более четкое понимание особенностей, ограничений и процессов в ОС Windows, а также пояснить обязательства по обслуживанию, которые берет на себя компания.
"Мы заинтересованы в обратной связи когда дело касается нашей сервисной политики, и надеемся, что наши критерии покажутся вам, исследователям, логичными", - следует из документа.
Как пояснили в Microsoft, при обнаружении очередной уязвимости действуют два критерия оценки:
- Угрожает ли найденая уязвимость особенностям операционной системы, которые Microsoft защищает?
- Достигает ли опасность уязвимости определенного уровня?
Утвердительный ответ на оба вопроса означает, что о проблемой займутся программисты Microsoft, а исправления для всех поддерживаемых продуктов будут выпущены в кратчайшие сроки.
Если ответ хотя бы на один из вопросов будет "нет", тогда компания отложит исправление уязвимости до выпуска новой версии ОС. В документе также описаны уровни опасности уязвимостей: "критический", "высокий", "средний", "низкий" и "нулевой". Компания будет исправлять только уязвимости уровня "критический" и "высокий".
