Microsoft güvenlik açıklarını sınıflandırıyor

Müşterilerin güvenlik tehditlerine karşı daha iyi karşılık verebilmeleri için, Microsoft güvenlik bültenlerine tehlike seviyeleri ekleyeceğini duyurdu. Firmanın güvenlik cevap merkezinin (security response center) yayınladığı dokümana göre yeni tehlike seviyeleri sistemi ile Microsoft ürünleri 'kritik' 'orta' veya 'düşük' olarak sınıflandırılacak.

Firma geçmişte, bir güvenlik açığı (gerçekleştirilmesi ne kadar zor yada sınırlı olsada) müşterilerini etkiliyorsa hemen bir güvenlik bülteni yayınlıyordu. Microsoft geçen sene 'Clip Art hafıza taşması'ndan 'Web Sunucu dizin atlama açığı'na kadar 100 güvenlik bülteni yayınladı. Bültenler sınıflandırılmadığı için Microsoft 'müşterilerin sıkça sistemlerini koruyacak güvenlik yamalarını kurmada başarısızlığa uğradıklarını' gördü.
Firmaya göre yeni rating sistemi müşteriler tarafından talep edildi ve sınıflandırma 'açığın başarılı gerçekleştirilmesinde oluşacaklar ve açıktan başarılı şekilde yararlanabilme olasılığı' üzerine olacak.

Microsoft ayrıca güvenlik tehditlerini 3 farklı sistem ortamına göre ayıracak: Internet`e bağlı sunucular, dahili sunucular ve istemci sistemleri. Bir tehlike seviyesine dahil olması için, web sunucusundaki bir açığın, örneğin, web sitesinin görüntüsünün değiştirilebilmesine izin vermesi, denial of service saldırısına yada tam kontrola izin vermesi gerekli. Düşük riskli bir tehditin sunucudaki script`leri görüntülemek gibi sınırlı etkisi/hasarı olacaktır diyor Microsoft.

Ofis masaüstü yada ev PC`leri gibi istemci sistemlerinde açıklar eğer kullanıcı aktivitisine ihtiyaç olmadan istenilen kodun çalıştırılabilmesine izin veriyorsa kritik olarak sınıflandırılacak. İstemci sistemde sınırlı yada kısmi bilgi hırsızlığı yada değişikliği Microsoft`un rating $emasına göre düşük riskli olarak değerlendiriliyor. Firma 'subjektiflik ve yargı'nın güvenlik açığı tehlike sınıflandırmalarında kullanılacağını belirtiyor.

Microsoft yeni tehlike rating sisteminin bir sonraki bültenlerinde devreye gireceğini söyledi. Gelecekte müşteriler bültenlerde tehlike seviyesi ve sistem ortamına göre arama yapabilecekler.

Microsoft`un tehlike rating sistemi şu an pek çok anti-virus yazılım üreticisinin yeni virüs tehditlerini kategorilendirmede kullandıkları bir sistem. Fakat çoğu bilgisayar yazılımı üreticisi ürünlerinde bulunan güvenlik açıklarını seviyelendirmiyorlar.
Bu sene Microsoft 51 güvenlik bülteni yayınladı ve bu geçen senenin yarı hızı. Fakat Ekim ile Aralık ayları güvenlik bültenleri için 2000 yılının en yoğun zamanıydı.

Microsoft`un güvenlik bülteni sınıflandırma sistemi ile ilgili detaylı bilgi için: http://www.microsoft.com/technet/security/topics/rating.asp

ref: Brian McWilliams, Newsbytes