Přejít k hlavnímu obsahu

Microsoft oznamuje důležitou změnu: týká se bezpečnostních chyb ve Windows, ale i dalších programech

Jiří Palyza 18.04.2024
info ikonka
Zdroj: Midjourney (vygenerováno pomocí umělé inteligence)

Pro posouzení příčin bezpečnostních chyb ve Windows a jejich klasifikaci na základě míry rizika Microsoft doposud používal vlastní systém označování. Nyní se přiklání k zažitému standardu, a také chce být více transparentní.

Oficiální bezpečnostní chyby v hardwaru, softwaru a službách jsou obvykle klasifikovány podle určitého systému hodnocení. Možná jste si už všimli zkratky CVE, která se často objevuje například při popisu obsahu bezpečnostních aktualizací, uvolňovaných pro operační systémy a aplikace.

Zkratka CVE znamená "Common Vulnerabilities and Exposures" a reprezentuje standardizovaný systém označování zranitelností. Pro CVE ale neexistuje žádné bezpečnostní hodnocení.

Microsoft už desítky let používá k popisu příčin zranitelností vlastní taxonomii. Podle informací bezpečnostní skupiny Microsoftu (Security Response Team) chce do budoucna přejít na průmyslový standard.

Na první pohled kosmetická změna znamená přechod na obecný standard, vyvinutý a zavedený bezpečnostní komunitou

Označování bezpečnostních chyb Microsoftem
info ikonka
Zdroj: Microsoft
Klasifikaci zranitelností podle standardu CWE Microsoft poprvé uvádí v rámci bezpečnostních aktualizací dubnového dne záplat.

Redmond přešel při označování zranitelností na průmyslový standard CWE, Common Weakness Enumeration. Cílem je poskytnout zákazníkům, vývojářům a bezpečnostním expertům lepší přehled o příčinách bezpečnostních zranitelností. K tomuto kroku Microsoft přistupuje v rámci své iniciativy Secure Future Initiative (SFI).

Její snahou je definovat technické priority při reorganizaci vývoje softwaru, zavést nové mechanismy ochrany identity, vnést lepší transparentnost a rychlejší reakce při řešení objevených zranitelností.

Mohlo by vás zajímat

CWE je seznam obecných softwarových a hardwarových zranitelností vytvořený komunitou, který má poskytnout přesnou klasifikaci příčiny. Od dubna 2024 Microsoft uvádí při hodnocení zranitelností kromě vlastní hodnoty CVE také klasifikaci CWE.

Zdroj: Microsoft MSRC, CWE, X
 


Máte k článku připomínku? Napište nám

Sdílet článek

Mohlo by se vám líbit








Všechny nejnovější zprávy

doporučujeme