We hebben de manier gewijzigd waarop we beveiligingsupdates classificeren die gerelateerd zijn aan Microsoft-beveiligingsadviezen en -bulletins. Door deze wijziging kunnen Ondernemingsadministrators updates die gevolgen hebben voor de beveiliging beter identificeren.
Deze wijziging biedt de volgende voordelen:
-
We kunnen updates in beveiligingsbulletins waaraan geen MSRC-urgentie is toegewezen, nauwkeuriger classificeren. Bijvoorbeeld: aanMS13-038: Beveiligingsupdate voor Internet Explorer 9 van 14 mei 2013 is geen ernstbeoordeling toegewezen. Voortaan zal de MSRC-urgentie worden geclassificeerd als 'Niet toegewezen'.
-
We kunnen updates in beveiligingsadviezen die niet gerelateerd zijn aan een beveiligingsprobleem in Microsoft-code maar wel gevolgen hebben voor de beveiliging, correct classificeren.
Voor dit soort beveiligingsproblemen kunnen klanten de MSRC-urgentie 'Niet toegewezen' verwachten. Klanten moeten zich wel realiseren dat we de classificatie van bulletins en adviezen die vóór mei 2013 zijn uitgebracht, niet wijzigen.
Voorheen werd beveiligingsgerelateerde inhoud die samen met een beveiligingsadvies werd uitgebracht, geclassificeerd als 'update, niet voor beveiliging', meestal door de updateclassificatie 'Essentieel' te gebruiken. Voortaan zal dergelijke inhoud worden geclassificeerd als een 'Beveiligingsupdate' met de MSRC-urgentie 'Niet toegewezen'. Dit kan verwarrend zijn voor Ondernemingsadministrators die op de hoogte zijn van het beveiligingsadvies maar geen beveiligingsupdate zien in hun Microsoft WSUS-serverconsoles (Windows Server Update Services). Door deze wijziging zullen Ondernemingsadministrators sneller updates kunnen identificeren die gevolgen hebben voor de beveiliging en effectiever beveiligingsinhoud kunnen identificeren die gerelateerd is aan beveiligingsadviezen.
Ook Microsoft-beveiligingsbulletins kunnen op deze manier worden geclassificeerd. Tijdens het onderzoeken van een beveiligingsprobleem kunnen we er bijvoorbeeld achter komen dat een beveiligingsprobleem kan worden misbruikt in een bepaalde versie van een bepaald product maar niet kan worden misbruikt in een ander product dat van dezelfde code gebruikmaakt. In dit scenario zullen we ons uit voorzorg waarschijnlijk uitgebreid op beide producten richten. Pakketten voor dergelijke problemen (problemen waarvoor we een update uitbrengen als uitgebreide verdedigingsmaatregel) kunnen we ook classificeren door de MSRC-urgentie 'Niet toegewezen' te gebruiken.