Clique aqui para instalar o Silverlight*
BrasilAlterar|Todos os sites da Microsoft
Microsoft
Segurança 

Sistema de Classificação dos Boletins de Segurança do Microsoft Security Response Center

Publicado em: 18 de Outubro de 2004 | Atualizado em: 18 de Outubro de 2004

A missão do MSRC (Microsoft Security Response Center) é ajudar os clientes a operarem seus sistemas e redes de forma segura. Uma grande parte desta missão envolve avaliar os relatos de clientes de vulnerabilidades suspeitas em produtos Microsoft e, quando necessário, garantir que correções e boletins de segurança que respondam a estes relatos sejam produzidos e disseminados.

O MSRC divulga um boletim para qualquer vulnerabilidade de produto que possa, em nosso julgamento, resultar em impacto em múltiplos sistemas de clientes, independente do tamanho deste impacto.

Entretanto, esta abordagem conservativa na identificação de vulnerabilidades que exigem ações de nossa parte pode também criar dificuldades para muitos clientes em identificarem as vulnerabilidades que representam riscos significantes em seus ambientes.

A experiência da indústria mostra que o impacto maior em sistemas de nossos clientes raramente são conseqüências de explorações de vulnerabilidades desconhecidas pelos atacantes. Em vez disso, como no caso do Code Red e Nimda, os ataques tipicamente exploram vulnerabilidades para as quais correções já haviam sido disponibilizadas, mas não aplicadas.

Nem todas as vulnerabilidades têm um impacto igual em todos os usuários. Este documento apresenta nosso sistema de classificação de severidade dos boletins de segurança. Este sistema, que foi revisado em Novembro de 2002 baseado em sugestões de clientes, foi criado para ajudar nossos clientes a decidirem quais correções eles devem aplicar para evitar impacto em circunstâncias particulares e o quão rapidamente eles devem agir. Os clientes recomendaram que incluíssemos esta informação em nossos boletins para ajudá-los no gerenciamento do risco.

O sistema de classificação de severidade

O sistema de classificação de severidade fornece uma classificação única para cada vulnerabilidade. As definições das classificações são as seguintes:

Classificação

Definição

Crítico

Uma vulnerabilidade cuja a exploração pode permitir a propagação de um worm na Internet sem ação do usuário.

Importante

Uma vulnerabilidade cuja exploração pode resultar em comprometimento da confidencialidade, integridade ou disponibilidade dos dados dos usuários, ou da integridade ou disponibilidade dos recursos do sistema.

Moderado

A exploração é mitigada de forma significante por fatores como configuração padrão, auditoria ou dificuldade da exploração.

Baixo

Uma vulnerabilidade cuja exploração é extremamente difícil, ou cujo impacto é mínimo.

Nós iremos, quando apropriado, apontar casos onde a severidade da vulnerabilidade depende do ambiente do sistema. As classificações assumem que a vulnerabilidade é conhecida e que o código ou scripts que exploram a vulnerabilidade estão amplamente disponíveis.

Usando o Sistema

Nós aplicamos o sistema de classificação de severidade em cada novo boletim de segurança lançado. will apply this severity rating system to each newly-issued security bulletin from this point forward. Com respeito a correções que endereçam múltiplas vulnerabilidades, nós rotularemos cada uma de acordo com a vulnerabilidade nova mais séria que ela elimina. Além disso, o boletim associado sempre proverá uma classificação para cada assunto descrito.

Nós acreditamos que clientes que usam um produto afetado quase sempre devem aplicar correções que endereçam vulnerabilidades consideradas críticas ou importantes. Devem ser aplicadas correções consideradas críticas na primeira oportunidade. Os clientes devem ler o boletim de segurança associado com qualquer vulnerabilidade classificada como moderada ou baixa e determinar se é provável que a vulnerabilidade afete a sua configuração em particular. Nós acreditamos que correções classificadas como nível baixo de severidade têm menor probabilidade de afetar a maioria dos clientes.

Enquanto este sistema pretende fornecer uma avaliação objetiva de cada questão, nós recomendamos fortemente aos clientes que avaliem os próprios ambientes e tomem decisões sobre quais correções são exigidas para proteger os seus sistemas.

Perguntas Mais Freqüentes sobre as modificações de Novembro de 2002 são fornecidas aqui.



©2015 Microsoft Corporation. Todos os direitos reservados. Entre em contato |Nota Legal |Marcas comerciais |Política de Privacidade