微軟發布漏洞修復標準，部分漏洞可能將永久不予修復

微軟近期公布了一份攸關安全承諾的草案，載明了微軟用來評估是否修補漏洞、提供安全更新的標準，以供安全社群在提交漏洞或期待微軟回應時參考。

決定微軟是否修補漏洞的兩個關鍵問題分別是該漏洞是否危及微軟承諾要維護的安全邊界或安全功能，以及漏洞的嚴重性是否符合維護條件，倘若兩個答案都是肯定的，那麼微軟即會進行安全更新，若為否定，微軟則會考慮於該產品的新版中修補它。

微軟所指的安全邊界則是在有不同信賴程度的代碼與資料安全領域上的邏輯分離，舉例來說，核心模式與使用者模式之間就存在著安全邊界，微軟於軟體中設定了許多安全邊界以隔離網路上的裝置、隔離虛擬機器，或是隔離裝置上的應用程式等。

迄今微軟已定義了8個安全邊界，包括不允許未授權的網路終端存取或竄改客戶裝置的網路邊界、禁止非管理員許可權存取或竄改核心程序與資料的核心邊界、禁止非授權用戶存取或竄改其它程序的程序邊界、禁止基於AppContainer的沙盒程序存取或竄改沙盒外代碼與資料的AppContainer沙盒邊界、一名用戶的登入期間不得被其它未授權的用戶登入期間所存取或竄改的期間邊界、禁止未授權網站違反同源政策的瀏覽器邊界、禁止未授權Hyper- V客座虛擬機器存取或竄改其它客座虛擬機器的代碼或資料的虛擬機器邊界，以及禁止VSM Trustlet或Enclave內部資料或程序遭到外部程序存取或竄改的虛擬安全模式邊界。

至於在安全功能上則有7項，它們分別是裝置安全（BitLocker與Secure Boot）、平台安全（Windows Defender System Guard）、應用程式安全（Windows Defender Application Control）、身份及訪問控制（Windows Hello / Biometrics與Windows Resource Access Control）、加密API、裝置健康證明（Host Guardian Service）與身份驗證協定（Authentication Protocols）。

舉凡可用來侵犯上述安全邊界或安全功能的漏洞都將被微軟列為修補與安全更新的對象。

不過，微軟特彆強調有些安全功能在未經承諾下也提供了威脅防護能力，微軟將這些功能稱之為深度防禦功能（defense-in-depth）或緩解，由於它們是額外的安全功能，且有設計上的限制，因此微軟並未提供安全上的保證，還說就算繞過這些功能也不會帶來直接的威脅，因為不管如何，駭客必須先找到一個可以危及安全邊界的漏洞，或是仰賴社交工程手法才能危害裝置。

總之，微軟認為可繞過或危及深度防禦功能的漏洞都不在該公司承諾修補的範圍內，而可能會藉由之後的產品更新修補。

它們包括User Account Control、AppLocker、Controlled Folder Access、Mark of the Web、Data Execution Prevention、Address Space Layout Randomization、Kernel Address Space Layout Randomization、Arbitrary Code Guard、Code Integrity Guard、Control Flow Guard、Child Process Restriction、SafeSEH/ SEHOP、Heap randomization and metadata protection、Windows Defender、Exploit Guard、Protected Process Light及Shielded Virtual Machines。

內容來源：theregister

譯文：IT生活論壇

優炫操作系統安全增強系統（Rock Solid Core Data Protection System，簡稱RS-CDPS）通過安裝在伺服器的安全內核保護伺服器數據，通過截取系統調用實現對文件系統的訪問控制，以加強操作系統安全性。它具有完整的用戶認證，訪問控制及審計功能，不用更改操作系統就可以安裝，提供信息系統主動防護功能，操作方便、易於系統管理和安全管理。可對UNIX類、LINUX類、WINDOWS類各種操作系統進行統一管理，為管理人員提供方便，可以保障客戶的伺服器安全、持續、長效運行。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！