原标题:微软发表产品安全承诺,对外公开漏洞修补标准
示意图,与新闻事件无关。
图片来源:微软
微软于本周公布了一份攸关安全承诺的草案,载明了微软用来评估是否修补漏洞、提供安全更新的标准,以供安全社交在提交漏洞或期待微软回应时参考。
决定微软是否修补漏洞的两个关键问题分别是该漏洞是否危及微软承诺要维护的安全边界或安全功能,以及漏洞的严重性是否符合维护条件,倘若两个答案都是肯定的,那么微软即会进行安全更新,若为否定,微软则会考虑于该产品的新版中修补它。
微软所指的安全边界则是在有不同信赖程度的程式码与资料安全领域上的逻辑分离,举例来说,核心模式与使用者模式之间就存在着安全边界,微软于软件中设定了许多安全边界以隔离网络上的装置、隔离虚拟机器,或是隔离装置上的应用程序等。
迄今微软已定义了8个安全边界,包括不允许未授权的网络终端存取或窜改客户装置的网络边界、禁止非管理员权限存取或窜改核心程式与资料的核心边界、禁止非授权用户存取或窜改其它程序的程序边界、禁止基于AppContainer的沙箱程序存取或窜改沙箱外程式码与资料的AppContainer沙箱边界、一位用户的登入期间不得被其它未授权的用户登入期间所存取或窜改的期间边界、禁止未授权网站违反同源政策的浏览器边界、禁止未授权 Hyper-V客座虚拟机器存取或窜改其它客座虚拟机器的程式码或资料的虚拟机器边界,以及禁止VSM△Trustlet或Enclave内部资料或程式遭到外部程式存取或窜改的虚拟安全模式边界。
至于在安全功能上则有7项,它们分别是装置安全(BitLocker与Secure△Boot)、平台安全(Windows△Defender△System△Guard)、应用程序安全(Windows△Defender△Application△Control)、身份及存取控制(Windows△Hello△/Biometrics与Windows△Resource△Access△Control)、加密API、装置健康证明(Host△Guardian△Service)与身份验证协议(Authentication△Protocols)。
举凡可用来侵犯上述安全边界或安全功能的漏洞都将被微软列为修补与安全更新的对象。
不过,微软特别强调有些安全功能在未经承诺下也提供了威胁防护能力,微软将这些功能称之为深度防御功能(defense-in-depth)或缓解,由于它们是额外的安全功能,且有设计上的限制,因此微软并未提供安全上的保证,还说就算绕过这些功能也不会带来直接的威胁,因为不管如何,骇客必须先找到一个可以危及安全边界的漏洞,或是依赖社交工程手法才能危害装置。
总之,微软认为可绕过或危及深度防御功能的漏洞都不在该公司承诺修补的范围内,而可能会借由之后的产品更新修补。
它们包括User△Account△Control、AppLocker、Controlled△Folder△Access、Mark△of△the△Web、Data△Execution△Prevention、Address△Space△Layout△Randomization、Kernel△Address△Space△Layout△Randomization、Arbitrary△Code△Guard、Code△Integrity△Guard、Control△Flow△Guard、Child△Process△Restriction、SafeSEH/SEHOP、Heap△randomization△and△metadata△protection、Windows△Defender、Exploit△Guard、Protected△Process△Light及Shielded△Virtual△Machines。
相关:
示意图,与新闻事件无关。 图片来源: 微软 电商巨人Amazon一月初开设智慧无人商店引发话题。周四路透社报道,微软也将如法泡制,发展智慧自助商店的技术。报道引述匿名消息人士指出,这套无人商店技术主要用来追踪
微软Windows四月更新已跑在2.5亿台PC上,现在开放所有相容装置下载
示意图,与新闻事件无关。 图片来源: 微软 微软周四宣布, Windows△10四月更新2018(April△Update△2018,或称1803版)推出2个月半以来全球已经有2.5亿台装置升级,而即日起四月更新将可开放全球所有Windows△10
多个知名加密函式库存在ROHNP漏洞,骇客一分钟就能猜出ECDSA私钥
资安公司Nccgroup揭露了编号为CVE-2018-0495的ROHNP漏洞,该漏洞允许骇客恢复ECDSA或DSA私钥,也就是说当加密函式库进行TLS或SSH连线,以私钥创建签章时,会意外的通过记忆体快取泄漏部分关键资讯,骇客可以在收集数
紧接AWS,微软Azure Kubernetes服务也正式上线了!
前阵子云端龙头AWS才正式让Kubernetes服务EKS上线,现在轮到微软Azure,该公司近日宣布,公有云提供的Kubernetes代管服务AKS,正式上线。在这两三年间,各厂商其实都已有推出自家的容器、Kubernetes代管服务,不过直
微软Office.com、Office 365换新装,简化Ribbon、强化搜寻
图片来源: 微软 在近日Gmail大改版后,微软周三也宣布改版了网页及行动平台版本的生产力工具Office套件软件,包括简化Ribbon设计、翻新图示及强化搜寻功能等。微软Office与Windows行销企业副总裁Jared△Spataro指出,