Změnili jsme způsob, jakým klasifikujeme aktualizace zabezpečení související s bulletiny a informačními zpravodaji zabezpečení společnosti Microsoft. Tato změna pomůže správcům podnikových sítí zřetelně odlišit aktualizace, které mají důsledky z hlediska zabezpečení.
Tato změna umožňuje následující:-
Můžeme přesněji klasifikovat aktualizace bulletin zabezpečení, jimž není přiřazeno hodnocení Závažnost MSRC. Příklad:MS13-038: Aktualizace zabezpečení pro aplikaci Internet Explorer 9: 14. května 2013 nemá přiřazeno hodnocení závažnosti. Od nynějška bude hodnocení Závažnost MSRC nastaveno jako Nepřiřazená.
-
Můžeme správně klasifikovat aktualizace informačních zpravodajů zabezpečení, které nesouvisejí s chybou zabezpečení v kódu společnosti Microsoft, ale mají důsledky z hlediska zabezpečení.
U těchto typů potíží se zabezpečením mohou zákazníci očekávat, že hodnocení Závažnost MSRC bude nastaveno na hodnotu Nepřiřazená. Zákazníci by si také měli být vědomi skutečnosti, že nebudeme měnit klasifikaci bulletinů a informačních zpravodajů vydaných do května 2013.
Dříve byl obsah související se zabezpečením, který byl vydán společně s informačním zpravodajem zabezpečení, klasifikován jako aktualizace, která se netýká zabezpečení, a to obvykle použitím klasifikace Důležitá aktualizace. Od nynějška bude takovýto obsah klasifikován jako aktualizace zabezpečení a hodnocení Závažnost MSRC bude nastaveno na hodnotu Nepřiřazená. To může být zdrojem nejasností pro správce podnikových sítí, kteří vědí o informačním zpravodaji zabezpečení, ale v serverových konzolách služby WSUS (Microsoft Windows Server Update Services) se jim nezobrazí žádná aktualizace zabezpečení. Tato změna umožní správcům podnikových sítí rychleji zjistit, které aktualizace mají dopad na zabezpečení, a efektivněji přidružit obsah zabezpečení související s informačními bulletiny zabezpečení. Bulletiny zabezpečení společnosti Microsoft mohou být rovněž klasifikovány tímto způsobem. V průběhu zkoumání chyby zabezpečení můžeme například najít scénář, kdy se potvrdí, že využití chyby zabezpečení ovlivňuje jednu verzi určitého produktu, ale že tuto chybu zabezpečení nelze zneužít u jiného produktu s podobným kódem. V takové situaci pravděpodobně budeme aktivní a vyřešíme tyto potíže komplexně pro oba produkty. U takovýchto potíží (potíží, kdy v rámci strategie důkladné ochrany vydáme aktualizaci) můžeme ke klasifikaci balíčků rovněž použít pro hodnocení Závažnost MSRC hodnotu Nepřiřazená.