Gestern hat Microsoft zwei Dokumente veröffentlicht, welche das Vorgehen des Unternehmens in Bezug auf sicherheitsrelevante Bugs dokumentieren.
Drei Sicherheitskategorien
Die Dokumente wurden im Laufe des Jahres vom Microsoft Security Response Center (MSRC) erstellt. Das MSRC ist bei Microsoft für die Annahme und Verarbeitung von sicherheitsrelevanten Bugreports zuständig.
Das erste Dokument ist die Internetseite “Microsoft Security Servicing Criteria for Windows”. Auf dieser Webseite werden Informationen über die regelmäßigen Patchdays bereitgestellt und an welchen Bugs das Windows Team noch arbeitet. Dabei werden drei Kategorien unterschieden: Sicherheitsgrenzen, Sicherheitsfeatures und defense-in-depth Sicherheitsfeatures.
Sicherheitsgrenzen sind das, was Microsoft als klare Verstöße gegen die Richtlinien für den Datenzugriff betrachtet. Das kann zum Beispiel ein Fehlerbericht sein, der beschreibt, wie ein Prozess im Benutzermodus, der keinen Administrator hat und Zugriff auf Kernelmodus und -daten erhält, immer als Verletzung der “Sicherheitsgrenze” angesehen wird, in diesem Fall der “Kernelgrenze”. Microsoft listet dabei neun Sicherheitsgrenzen auf: Netzwerk, Kernel, Prozess, AppContainer-Sandbox, Benutzer, Sitzung, Webbrowser, virtuelle Maschine und die Virtual Secure Mode Grenze.
Sicherheitsfunktionen sind Fehlerberichte in Anwendungen und andere Betriebssystemfunktionen, die diese Sicherheitsgrenzen verstärken, wie beispielsweise Fehlerberichte in BitLocker, Windows Defender, Secure Boot und anderen.
Fehlerberichte für die ersten beiden werden stets als wichtig eingestuft, sodass das Microsoft-Team am Patchday die Lücke sofort behebt.
Die letzte Kategorie – Defense-in-Depth-Depth Sicherheits Features – sind Sicherheitsmerkmale, welche “zusätzliche Sicherheit” bieten sollen.
Dazu gehören z.B. die Funktion User Account Control (UAC), AppLocker, Address Space Layout Randomization (ASLR), Control Flow Guard (CFG) und andere.
Fehlerberichte in Defense-in-Depth-Funktionen werden in der Regel nicht direkt am Patchday behoben sondern über spätere Updates.
Das zweite Dokument, das Microsoft veröffentlicht hat, ist eine PDF-Datei, welche beschreibt, wie Microsoft die Dringlichkeit und Schwere einer Sicherheitslücke einstuft.
So wird beispielsweise ein Fehler, der unbefugten Zugriff auf das Dateisystem erlaubt, um Daten auf die Festplatte zu schreiben, als kritisch angesehen, während ein Denial-of-Service Fehler, der nur einen Neustart einer Anwendung durchführt, immer als risikoarm angesehen wird.
Mit der Veröffentlichung der Dokumente möchte Microsoft den Sicherheitsforschern und der Community Einblicke in die Arbeitsweise des Unternehmens bieten. Microsoft wurde in letzter Zeit oft kritisiert, weil es bestimmte Schwachstellen nicht behoben hat, nachdem Fehlerberichte eingereicht wurden.
Wie findet ihr das Vorgehen von Microsoft?
via zdnet
Es ist gut, dass Microsoft die Dokumente veröffentlicht. Aber ob das etwas ändert an der öffentlichen Meinung? Google braucht doch bloß die gefundene Sicherheitslücke in die höchste Kategorie einstufen und Microsoft in die Not der Korrektur dieser Einstufung bringen. Ob das der Öffentlichkeit dann immer auch gleich so klar ist, wage ich zu bezweifeln. Den Forschern wird es auf Anhieb klar sein. Aber welche Rolle spielen diese in dem Kampf, den Google diesbezüglich gegen Microsoft führt?