Firma Microsoft zmieniła sposób klasyfikowania aktualizacji zabezpieczeń związanych z wydawanymi dokumentami Security Advisory i biuletynami zabezpieczeń. Ta zmiana ułatwi administratorom przedsiębiorstw jednoznaczne identyfikowanie aktualizacji mających wpływ na zabezpieczenia.
Ta zmiana zapewnia następujące możliwości:-
Firma Microsoft może dokładniej klasyfikować aktualizacje związane z biuletynami zabezpieczeń, do których nie przypisano oceny ważności MSRC. Na przykład aktualizacjaMS13-038: Aktualizacja zabezpieczeń programu Internet Explorer 9: 14 maja 2013nie ma przypisanej oceny ważności. Obecnie ocena ważności MSRC będzie określana jako „Nieprzypisana”.
-
Firma Microsoft może poprawnie klasyfikować aktualizacje opisane w dokumentach Security Advisory, które nie są związane z luką w zabezpieczeniach w kodzie firmy Microsoft, ale mają wpływ na zabezpieczenia.
W przypadku tego typu problemów z zabezpieczeniami klienci będą zazwyczaj informowani, że ocena ważności MSRC została określona jako „Nieprzypisana”. Ponadto klienci powinni mieć świadomość, że firma Microsoft nie zmieni klasyfikacji biuletynów i dokumentów wydanych wcześniej niż w maju 2013.
Dotychczas zawartość dotycząca zabezpieczeń wydawana razem z dokumentem Security Advisory była klasyfikowana jako aktualizacja niezwiązana z zabezpieczeniami (zazwyczaj jako aktualizacja „Krytyczna”). Obecnie taka zawartość będzie klasyfikowana jako „aktualizacja zabezpieczeń” z oceną ważności MSRC określoną jako „Nieprzypisana”. Może to dezorientować administratorów przedsiębiorstw, którzy wiedzą o danym dokumencie Security Advisory, ale nie widzą odpowiedniej aktualizacji zabezpieczeń w konsoli programu Microsoft Windows Server Update Services (WSUS) na serwerze. Ta zmiana umożliwi administratorom przedsiębiorstw szybsze identyfikowanie aktualizacji wpływających na zabezpieczenia oraz efektywniejsze kojarzenie zawartości dotyczącej zabezpieczeń, która jest związana z dokumentami Security Advisory. Biuletyny zabezpieczeń firmy Microsoft również mogą być klasyfikowane w ten sposób. Na przykład podczas badania luki w zabezpieczeniach firma Microsoft może ustalić, że można ją wykorzystać w jednej z wersji określonego produktu, ale nie jest to możliwe w innym produkcie używającym podobnego kodu. W takiej sytuacji firma Microsoft proaktywnie zaoferuje kompleksowe rozwiązanie obejmujące oba produkty. W przypadku takich problemów (gdy aktualizacja jest wydawana w celu zapewnienia kompleksowej ochrony) firma Microsoft również może klasyfikować pakiety, stosując ocenę ważności MSRC na poziomie „Nieprzypisana”.