Microsoft описала, какие уязвимости не будет исправлять

Microsoft опубликовала документ «Security Servicing Commitments for Windows» («Обязательства по обеспечению безопасности для Windows»), в котором компания рассказала о своих обязательствах касательно исправления уязвимостей в операционной системе. В частности, в документе описано, какие именно проблемы программисты Microsoft будут исправлять, а какие останутся без внимания.

Документ призван дать экспертам по кибербезопасности более четкое понимание особенностей, ограничений и процессов в ОС Windows, а также пояснить обязательства по обслуживанию, которые берет на себя компания.

«Мы заинтересованы в обратной связи когда дело касается нашей сервисной политики, и надеемся, что наши критерии покажутся вам, исследователям, логичными», - следует из документа.

Как пояснили в Microsoft, при обнаружении очередной уязвимости действуют два критерия оценки:

- Угрожает ли найденая уязвимость особенностям операционной системы, которые Microsoft защищает?

- Достигает ли опасность уязвимости определенного уровня?

Утвердительный ответ на оба вопроса означает, что о проблемой займутся программисты Microsoft, а исправления для всех поддерживаемых продуктов будут выпущены в кратчайшие сроки.

Если ответ хотя бы на один из вопросов будет «нет», тогда компания отложит исправление уязвимости до выпуска новой версии ОС. В документе также описаны уровни опасности уязвимостей: «критический», «высокий», «средний», «низкий» и «нулевой». Компания будет исправлять только уязвимости уровня «критический» и «высокий».