Microsoft heeft twee documenten vrijgegeven waarin details staan over hoe het bedrijf omgaat met beveiligingsproblemen. De documenten werden in een jaar tijd opgesteld door de Microsoft Security Response Center (MSRC). Die afdeling ontvangt beveiligingsgerelateerde rapporten over bugs en handelt deze af.

De twee documenten bestaan uit een website en een PDF, meldt ZDNet. De website, genaamd Microsoft Security Servicing Criteria for Windows, bevat informatie over welke type Windows-functies over het algemeen meegenomen worden via Patch Tuesday-beveiligingsupdates. De rest van de bugs worden overgelaten aan het algemene ontwikkelaarsteam van Windows. Een update voor deze bugs verschijnt in de halfjaarlijkse updates.

De bugs worden in drie categorieën opgesplitst: security boundaries, security features en defense-in-depth security features. De eerste categorie bevat duidelijke overtredingen van het beleid over toegang tot data. Er zijn in totaal negen soorten security boundaries, namelijk netwerk, kernel, process, AppContainer sandbox, gebruiker, sessie, webbrowser, virtual machine en de Virtual Secure Mode.

De tweede categorie, security features, zijn fouten in apps en andere functies op het besturingssysteem die gemaakt zijn om de security boundaries te versterken. Het gaat dan onder meer om kwetsbaarheden in BitLocker, Windows Defender en Secure Boot.

De kwetsbaarheden in deze twee categorieën worden vrijwel altijd als beveiligingsproblemen gezien, die zo snel mogelijk opgelost worden in Patch Tuesday. De derde categorie, defense-in-depth security features, is vaak minder robuust dan de andere twee. Die biedt alleen extra beveiliging. Het gaat onder meer om User Account Control en AppLocker.

PDF

Ook heeft Microsoft een PDF vrijgegeven, waarin beschreven wordt hoe Microsoft de bug reports rangschikt op ernst. Het document legt precies uit welke bugs als kritisch gezien worden, en welke als belangrijk, gemiddeld of laag risico bestempeld worden.

Een fout die bijvoorbeeld ongeoorloofde toegang tot het bestandensysteem toelaat om data op de schijf te schrijven, wordt als kritisch gezien. Een fout die alleen een applicatie herstart, heeft een laag risico.