微軟發布關鍵Windows公告 改變可利用系數
微軟在上周四針對用戶發布關鍵Windows公告,五月份的補丁計劃比較簡單,將在‘補丁星期二’發布兩個公告,其中一個為“危急”,解決Windows中的一個漏洞問題。
微軟表示,該危急公告解決的Windows漏洞對Windows Server 2003,2008和2008 r2都有影響。第二個公告定級為“重要”,解決了兩個漏洞,這兩個漏洞存在于微軟PowerPoint 2002,2003和2007版本以及針對Mac平臺的Office 2004和2008版本中。公告已定于美國時間5月10日發布。
可利用系數(Exploitability Index)的改變
此外,微軟還宣布改變其可利用系數,旨在幫助IT管理員安排好補丁實施的優先級。該指數的數值,根據補丁發布頭30天功能開發代碼出現的可能性而定。
更改后的指數將包括兩個指標來評價每個漏洞,可為最新的平臺和舊版本的軟件打分定級。高級安全程序經理Maarten Van Horenbeeck,在微軟安全響應中心的博客中寫道,改變指數的目的,是為了將漏洞評估變得對用戶而言更清晰和更易懂。
“這一改變,使用戶更容易在最新的平臺上,確定微軟新產品中提供的額外安全措施和功能帶給他們的風險。”Van Horenbeeck寫道,“在以前的系統下,所有的產品版本只有一個總的漏洞評級。”
Van Horenbeeck表示,在開源系統中比如地址空間布局隨機化(ASLR),數據執行保護(DEP)和其他幫助阻止漏洞利用的技術中,可利用系數被批評說沒有將更多最近的措施考慮在內。比如在Windows XP中,ASLR不是默認部署的。
拒絕服務的風險
改變后的可利用系數還將拒絕服務攻擊(denial-of-service,DoS)帶來的風險考慮在內,拒絕服務攻擊會導致系統停止響應或崩潰。該指數將表明一個DoS攻擊是否是“永久”的,是否會使一個程序或操作系統崩潰,以及是否在攻擊中無法響應。
Van Horenbeeck表示,“對于面向服務的互聯網管理員來說,一個高危的漏洞和一個不重要的漏洞是有區別的。”
在過去八個月可利用系數的評級中,微軟發現,一共有256個評級,其中97個為不太嚴重或對新版本產品不使用。有七個例子可以證明是最新的產品版本受到影響,而舊版本不會受到影響。
漏洞管理廠商Lumension安全公司的安全和法證分析主任Paul Henry表示,改變后的指數增強了一個評估工具能力,該工具對那些需要微調優先事項的管理員來說已經很有用。
Henry在一封電子郵件中寫道,“微軟在業界在補丁的背景信息方面已經做得很好,現在他們又開始邁向另一個缺口。”
【編輯推薦】
