Microsofts Kriterien für Windows-Sicherheitsupdates (9.2018)

Microsoft hat im September 2018 neue Dokumente veröffentlicht, die genauer beschreiben, nach welchen Kriterien Sicherheitsupdates für Windows entwickelt werden.


Anzeige

Bei ZDNet.com heißt es Microsoft details for the first time how it classifies Windows security bugs, dass es das erste Mal sei, dass Microsoft öffentlich mache, wie man Sicherheitslücken klassifiziere. Aber das ist nicht das erste Mal, dass Microsoft etwas über die Vorgehensweise bei der Entwicklung von Updates öffentlich macht. Bereits im Juni 2018 gab es einen Artikel von Microsoft zum Thema Entwicklungskriterien für Sicherheitsupdates (siehe meinen Blog-Beitrag Sicherheit: Wie Microsoft Patch-Entscheidungen trifft).

Kriterien für Windows-Sicherheitsmaßnahmen

In neuen Dokumenten gibt Microsoft nun Einblick in seine Abläufe zur Einstufung von Sicherheitsbedrohungen. Ein neuer Beitrag trägt den Namen Microsoft Security Servicing Criteria for Windows.

Windows Sicherheits-/Update-Kriterien

Dort skizziert Microsoft, nach welchen Kriterien man bei Sicherheitsmaßnahmen vorgeht, sobald eine Schwachstelle entdeckt wird. Es sind folgende Kriterien abzuprüfen.

  • Verletzt die entdeckte Schwachstelle das Ziel oder die Absicht einer Sicherheitsgrenze oder eines Sicherheitsmerkmals?
  • Entspricht die Schwere der Schwachstelle die Kriterien, dass ein Sicherheitsupdate herausgegeben werden muss?

Lautet die Antwort auf beide Fragen ja, versucht Microsoft die Schwachstelle durch ein Sicherheitsupdate und/oder eine Anleitung zu beheben. Kriterium ist aber auch, dass dies wirtschaftlich vertretbar ist. Wenn die Antwort auf eine der beiden Fragen nein ist, wird die Schwachstelle standardmäßig für die nächste Version oder das nächste Release von Windows berücksichtigt, aber nicht durch ein Sicherheitsupdate oder eine Anleitung behoben. Allerdings können auch hier Ausnahmen gemacht werden. Im Artikel geht Microsoft dann detaillierter auf verschiedene Kriterien für Maßnahmen ein. Wen dies interessiert, kann das hier nachlesen.

In einem weiteren PDF-Dokument beschreibt Microsoft, wie Fehlerberichten Schweregrade zugeordnet werden. Das Dokument legt offen, welche Fehler als kritisch eingestuft werden (z.B. eine Schwachstelle ermöglicht den unbefugten Zugriff auf das Dateisystem), welche wichtig, welche Fehler den mittleren Rang erhalten und welche mit einem niedrigen Risiko bewertet werden. Ein Denial-of-Service Fehler, der nur einen Neustart einer Anwendung verursacht, wird immer als risikoarm eingestuft.

Die Informationen helfen Nutzern (in meinen Augen) in der Praxis zwar keinen Schritt weiter. Das gilt speziell, wenn kein Update verfügbar ist oder ein verfügbares Update sich nicht installieren lässt. Aber man erfährt ein wenig mehr über die internen Abläufe bei Microsoft.


Anzeige

Ähnliche Artikel:
Sicherheit: Wie Microsoft Patch-Entscheidungen trifft
eco Verband fordert eingebaute Softwaresicherheit
Microsoft startet neue Sicherheits-Info-Webseite


Anzeige
Dieser Beitrag wurde unter Sicherheit, Update, Windows abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

1 Antwort zu Microsofts Kriterien für Windows-Sicherheitsupdates (9.2018)


  1. Anzeige
  2. Wenn ich schon Wirtschaftlich vertretbar lese wird mir übel!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (SEO-Posts/SPAM lösche ich). Kommentare abseits des Themas bitte unter Diskussion.