Microsoft explica cómo actúa ante cada tipo de vulnerabilidad en Windows y sus niveles de gravedad
Muchas han sido las veces en las que el gigante del software, Microsoft, se ha encontrado con multitud de errores en Windows de diferentes niveles que ponen en peligro tanto la integridad de su sistema Windows, como la de los datos de los usuarios que usan ese software en concreto.
Pues bien, para aclarar un poco su método de funcionamiento interno al encontrarse con el reporte de estas vulnerabilidades, la firma acaba de publicar un informe en el que explica los criterios utilizados para determinar si una vulnerabilidad de las notificadas y que ha sido confirmada, se resuelve mediante una actualización de seguridad, o en la siguiente versión de Windows.
Esto se ha hecho público con el fin de proporcionar información sobre la toma de decisiones internas y cómo deben actuar los investigadores de seguridad. Pues bien, según Microsoft, cuando se informa de una vulnerabilidad, esta se evalúa para saber cómo debe ser manejada respecto a dos factores. El primero se centra en si esta viola un límite o una función de seguridad que Microsoft se ha comprometido a defender contra ataques, mientras que el otro evalúa su gravedad para saber si requiere atención inmediata a través de la publicación de un parche.
En el caso de que la respuesta sea “sí” a ambas preguntas, se publica una actualización de seguridad inmediata, pero si la respuesta a cualquiera de las dos preguntas es «no», la vulnerabilidad normalmente se deja para ser solucionada en una nueva versión del sistema. Al mismo tiempo Microsoft tiene algunos límites de seguridad que se compromete a proteger, pero o todos son iguales.
Por ejemplo, una violación del «límite de Kernel», sería si un proceso del usuario capaz de acceder y modificar los datos o el código del Kernel, mientras que otra violación del «límite de máquina virtual», sería si un proceso en una máquina virtual local puede modificar los datos o el código de la máquina host u otra local. Al mismo tiempo otros límites de seguridad incluyen el límite de red, proceso, AppContainer, sesión, navegador web, etc.
Así trata Microsoft las vulnerabilidades de Windows
Aunque los de Redmond se comprometen a proteger todos esto límites de seguridad, no todas las funciones de seguridad reciben el mismo trato. Por ejemplo, algunas de estas tienen que funcionar según lo previsto, pero si no lo hacen, Microsoft promete resolverlas de inmediato. Aquí se incluye Windows Hello, Secure Boot o Bitlocker, funciones básicas a la hora de proteger un equipo y sus datos.
Por otro lado encontramos las funciones de protección de algún apartado de Windows, para las que aplican más «manga ancha», ya que estos requieren que se rompa un «límite de seguridad» ya existente para poder explotarlas.
Para terminar, diremos que la última parte del proceso de decisión se refiere a la gravedad de la vulnerabilidad, es decir, si es crítica o grave, dependiendo de si afecta a un límite de seguridad, o a una función en concreto, para lo cual se publicará una actualización de seguridad. Pero si no cumple con estos dos criterios, es posible que el fallo no se solucione hasta que se libere una nueva actualización de Windows.