Hemos cambiado la forma de clasificar las actualizaciones de seguridad relacionadas con los avisos y boletines de seguridad de Microsoft. Este cambio ayudará a los administradores de la organización a identificar claramente las actualizaciones que tienen implicaciones de seguridad.
Este cambio le permite lo siguiente:-
Podemos clasificar con más precisión actualizaciones del boletín de seguridad que no tienen una clasificación de "Gravedad MSRC" asignada. Por ejemplo, MS13-038: Actualización de seguridad para Internet Explorer 9: 14 de mayo de 2013 no tiene una clasificación de gravedad asignada. De ahora en adelante, la clasificación de "Gravedad MSRC" aparecerá como "Sin asignar".
-
Podemos clasificar correctamente las actualizaciones de avisos de seguridad no relacionadas con una vulnerabilidad en el código de Microsoft, pero tenemos implicaciones de seguridad.
Para estos tipos de problemas de seguridad, los clientes pueden esperar ver la clasificación de "gravedad MSRC" establecida como "Sin asignar". Además, los clientes deben tener en cuenta que no cambiaremos la clasificación de los boletines y avisos publicados antes de mayo de 2013.
Anteriormente, el contenido relacionado con la seguridad que se publicó junto con un aviso de seguridad se clasificada como actualización no relacionada con la seguridad, por lo general usando la clasificación de actualización "Crítica". De ahora en adelante, este tipo de contenido se clasificará como "Actualización de seguridad" con la clasificación de "Gravedad MSRC" como "Sin asignar". Puede ser una fuente de confusión para los administradores de la organización que conocen sobre el aviso de seguridad pero no ven una actualización de seguridad en sus consolas de servidor de Microsoft Windows Server Update Services (WSUS). Este cambio permitirá a los administradores de la organización identificar con más rapidez las actualizaciones que afectan a la seguridad y para asociar con más eficacia el contenido de seguridad relacionado con los avisos de seguridad. Los boletines de seguridad de Microsoft también se pueden clasificar de esta manera. Por ejemplo, durante la investigación de una vulnerabilidad de seguridad, podemos encontrar un escenario en el que se confirma la explotación de la vulnerabilidad para afectar a una versión de un producto, pero no se puede explotar en otro producto que utiliza un código similar. En este caso, lo más probable es que seamos proactivos y abordemos de manera global ambos productos. Para dichos problemas (es decir, los problemas en los que publicamos una actualización como una medida de defensa en profundidad), también podemos clasificar los paquetes usando la clasificación "Gravedad MSRC" de "Sin asignar".