שינינו את הדרך שבה אנו מסווגים עדכוני אבטחה שקשורים לעלונים ועלוני היידוע בנושא אבטחה של Microsoft. שינוי זה יעזור למנהלי מערכות ארגוניות לזהות בבירור עדכונים שיש להם השלכות לגבי אבטחה.
שינוי זה מאפשר את המצבים הבאים:
-
אנחנו יכולים לסווג בדיוק רב יותר עדכונים בעלוני יידוע בנושא אבטחה שלא מוקצה להם דירוג 'סיכון 'MSRC'. לדוגמה,MS13-038: עדכון אבטחה עבור Internet Explorer 9: 14.05.13לא הוקצה דירוג סיכון. בהמשך, הדירוג "סיכון MSRC" יסווג בתור "לא הוקצה".
-
אנחנו יכולים לסווג כראוי עדכונים של עלוני יידוע בנושא אבטחה שאינם קשורים לפגיעות בקוד Microsoft אך שיש להם השלכות על אבטחה.
עבור סוגים אלה של בעיות אבטחה, לקוחות יכולים לצפות לראות שהדירוג של 'סיכון MSRC' מוגדר ל'לא הוקצה'. כמו כן, לקוחות צריכים לדעת שלא נשנה את הסיווג של עלונים ועלוני יידוע שפורסמו לפני מאי 2013.
בעבר, תוכן הקשור לאבטחה שפורסם יחד עם עלון יידוע בנושא אבטחה סווג כעדכון שאינו עדכון אבטחה, בדרך כלל תוך שימוש בסיווג העדכון 'קריטי'. בהמשך, תוכן כזה יסווג בתור "עדכון אבטחה" עם הדירוג "סיכון MSRC" בתור "לא הוקצה". מצב זה יכול להוות מקור לבלבול בקרה מנהלי מערכות ארגוניות שיודעים על עלון היידוע בנושא אבטחה אך לא רואים עדכון אבטחה במסופים של שרת Microsoft Windows Server Update Services (WSUS) שלהם. שינוי זה יאפשר למנהלי מערכות ארגוניות לזהות במהירות עדכונים שמשפיעים על האבטחה ולשייך ביעילות תוכן אבטחה שקשור לעלוני יידוע בנושא אבטחה.
עלוני היידוע בנושא אבטחה של Microsoft עשויים להיות מסווגים גם הם באופן זה. לדוגמה, במהלך החקירה של פגיעות אבטחה, ייתכן שנמצא תרחיש שבו ניצול הפגיעות מקבל אישור כמשפיע על מוצר אחד אך לא ניתן לניצול במוצר אחר שמשתמש בקוד דומה. בתרחיש זה, סביר להניח שנפעל באופן מונע ונטפל באופן מקיף בשני המוצרים. בבעיות כאלה (כלומר בעיות שבהן אנו מפיצים עדכון כאמצעי להגנה מעמיקה), ייתכן גם שנסווג את החבילות על-ידי שימוש בסיווג 'סיכון MSRC' של 'לא הוקצה'.
