Для Vista придется создать собственную систему классификации уязвимостей
🕛 21.03.2007, 12:28
Эксперт по безопасности Майкл Говард (Michael Howard), «просто человек из Microsoft, занимающийся софтверной безопасностью», высказался в своём блоге о необходимости изменить классификацию уровней опасности уязвимостей для Windows Vista, поставив её в зависимость от продукта. В настоящее время компания пользуется единой классификацией для всех приложений. Опасность уязвимости оценивается по 4-балльной шкале: «низкая», «умеренная», «важная» и «критическая». Последний, самый высокий уровень, обозначает, что для уязвимости существует эксплоит и с её помощью можно выполнить произвольный код на удалённом компьютере.
По мнению г-на Говарда, Vista более надёжна, чем XP, и ей нужен другой классификатор, поскольку «критическая уязвимость в Vista» и такая же в XP - разные по степени опасности вещи.
В Microsoft относятся к этой идее без энтузиазма. По словам представителя Центра Microsoft по реагированию на безопасность (MSRC), нынешняя система классификации вполне удовлетворительна. «Этот процесс одинаковый для всех продуктов Microsoft. Для Windows Vista будет то же самое, и уровни опасности для любых продуктов одинаковы», - сказал он. Другими словами, критическая уязвимость - в любом продукте критическая.
Ссылки по теме: