我們已變更與 Microsoft 資訊安全諮詢和佈告欄相關的安全性更新分類方式。此變更將協助企業系統管理員明確識別會造成安全性疑慮的更新。
此變更允許以下操作:
-
我們可以更精確地將未指定「MSRC 嚴重性」等級的安全性佈告欄更新進行分類。例如,MS13-038:Internet Explorer 9 的安全性更新:2013 年 5 月 14 日未指定嚴重性等級。未來,「MSRC 嚴重性」等級將歸類為「未指定」。
-
我們可以正確分類與資訊安全諮詢相關的更新,雖然這些更新與 Microsoft 程式碼弱點不相關,但確實會造成安全性疑慮。
對於這類安全性議題,客戶可預期看到「MSRC 嚴重性」等級設定為「未指定」。此外,客戶也應留意我們不會變更在 2013 年 5 月以前發行的佈告欄和諮詢的分類。
過去,與安全諮詢一起發行的安全性相關內容會分類為非安全性更新,通常是使用「重大」更新分類。未來,這類內容將歸類為「安全性更新程式」,「MSRC 嚴重性」等級為「未指定」。這對企業系統管理員可能會造成混亂,因為他們可以得知安全性諮詢,但卻看不到 Microsoft Windows Server Update Services (WSUS) 伺服器主控台的安全性更新。此變更將可讓企業系統管理員更快速地識別會影響安全性的更新,並更有效率地連接與安全性諮詢相關的安全性內容。
Microsoft 資訊安全佈告欄也能以這種方式加以分類。例如,在調查資訊安全漏洞期間,我們可能發現某項產品的某個版本漏洞確實有遭到惡意探索的情況,但並未在使用類似程式碼的其他產品上發生惡意探索的情況。此時,我們將可能主動完整處理這兩種產品。對於此類問題 (也就是我們會對其發行更新,做為防禦全面性措施的問題),我們也會使用「MSRC 嚴重性」等級的「未指定」類別來為這些套件分類。
