Sistema de clasificación de gravedad de Microsoft Security Response Center (Revisado en noviembre de 2002)
La misión de Microsoft Security Response Center (MSRC) es lograr que los sistemas y redes de nuestros clientes operen con seguridad. Una parte fundamental en esta misión consiste en la evaluación de los informes que los clientes proporcionan sobre posibles vulnerabilidades en los productos de Microsoft y, si fuera necesario, garantizar la preparación y divulgación de revisiones y boletines de seguridad que respondan a estos informes.
El MSRC publica un boletín para cada vulnerabilidad que pudiera, a nuestro juicio, afectar a los sistemas de múltiples clientes, independientemente de su alcance o probabilidad. Sin embargo, este enfoque prudente en la identificación de vulnerabilidades que requieren actuación por nuestra parte puede hacer más difícil para muchos clientes la identificación de aquellas vulnerabilidades que representen riesgos especialmente significativos.
La experiencia confirma que los ataques que afectan a los sistemas de los clientes raramente son producidos por atacantes que aprovechan vulnerabilidades no conocidas con anterioridad. Por el contrario, como en el caso de los gusanos Code Red y Nimda, los ataques normalmente aprovechan vulnerabilidades para las que ya hace tiempo que existen revisiones de seguridad, aunque no se hayan aplicado.
No todas las vulnerabilidades afectan de igual modo a todos los usuarios. Este documento presenta nuestro sistema de clasificación de gravedad mediante boletín de seguridad. Este sistema, revisado en noviembre de 2002 de acuerdo a los comentarios de los clientes, sirve para ayudar a los clientes a decidir qué revisiones de seguridad deberían aplicar para evitar verse afectados en sus circunstancias particulares, así como la urgencia de las medidas a tomar. Los clientes nos han recomendado incluir esta información en nuestros boletines para ayudarles a valorar los riesgos.
Sistema de clasificación de gravedad
El sistema de clasificación de gravedad (Severity Rating System) ofrece una clasificación única para cada vulnerabilidad. Las definiciones de las clasificaciones son:
| Calificación | Definición |
Crítica | Vulnerabilidad que puede permitir la propagación de un gusano de Internet sin la acción del usuario. |
Importante | Vulnerabilidad que puede poner en peligro la confidencialidad, integridad o disponibilidad de los datos de los usuarios, o bien, la integridad o disponibilidad de los recursos de procesamiento. |
Moderada | El abuso podría reducirse en gran medida mediante factores como una configuración predeterminada, auditoría o dificultad de abuso. |
Baja | Vulnerabilidad muy difícil de aprovechar o cuyo impacto es mínimo. |
Siempre que sea oportuno, señalaremos los casos en los que la gravedad de una vulnerabilidad depende del entorno de sistema o el uso. Las clasificaciones asumen prudentemente que se conoce la vulnerabilidad y que existe código o secuencias de comandos que la explotan.
Uso del sistema
El sistema de clasificación de gravedad se aplicará a todos los boletines de seguridad que se publiquen desde este momento. Con respecto a las revisiones de seguridad que tratan múltiples vulnerabilidades, se clasificarán de acuerdo a la gravedad de la nueva vulnerabilidad que eliminen. Además, el boletín asociado siempre proporcionará clasificaciones para cada problema que se describa.
Consideramos que los clientes que utilicen productos afectados deberían en casi todos los casos aplicar revisiones de seguridad que solucionen las vulnerabilidades clasificadas como críticas o importantes. Las revisiones consideradas como críticas deberían aplicarse con especial puntualidad. Los clientes deben leer el boletín de seguridad asociado con cualquier vulnerabilidad considerada como moderada o baja para determinar si su configuración particular podría verse afectada. Creemos que las revisiones de seguridad clasificadas como bajas probablemente no afecten a la mayoría de los clientes.
Aunque este sistema de clasificación de gravedad está ideado para ofrecer una evaluación objetiva de cada problema, se recomienda a los usuarios que evalúen su propio entorno y tomen las decisiones oportunas sobre las revisiones necesarias para proteger sus sistemas.
Las preguntas más frecuentes sobre las modificaciones en el sistema de clasificación de gravedad de noviembre de 2002 pueden consultarse aquí.
