微软在上周四针对用户的提前通知中表示,五月份的补丁计划比较简单,将在‘补丁星期二’发布两个公告,其中一个为“危急”,解决Windows中的一个漏洞问题。
微软表示,该危急公告解决的Windows漏洞对Windows Server 2003,2008和2008 r2都有影响。第二个公告定级为“重要”,解决了两个漏洞,这两个漏洞存在于微软PowerPoint 2002,2003和2007版本以及针对Mac平台的Office 2004和2008版本中。公告已定于5月10日发布。
可利用系数(Exploitability Index)的改变
此外,微软还宣布改变其可利用系数,旨在帮助IT管理员安排好补丁实施的优先级。该指数的数值,根据补丁发布头30天功能开发代码出现的可能性而定。
更改后的指数将包括两个指标来评价每个漏洞,可为最新的平台和旧版本的软件打分定级。高级安全程序经理Maarten Van Horenbeeck,在微软安全响应中心的博客中写道,改变指数的目的,是为了将漏洞评估变得对用户而言更清晰和更易懂。
“这一改变,使用户更容易在最新的平台上,确定微软新产品中提供的额外安全措施和功能带给他们的风险。”Van Horenbeeck写道,“在以前的系统下,所有的产品版本只有一个总的漏洞评级。”
Van Horenbeeck表示,在开源系统中比如地址空间布局随机化(ASLR),数据执行保护(DEP)和其他帮助阻止漏洞利用的技术中,可利用系数被批评说没有将更多最近的措施考虑在内。比如在Windows XP中,ASLR不是默认部署的。
拒绝服务的风险
改变后的可利用系数还将拒绝服务攻击(denial-of-service,DoS)带来的风险考虑在内,拒绝服务攻击会导致系统停止响应或崩溃。该指数将表明一个DoS攻击是否是“永久”的,是否会使一个程序或操作系统崩溃,以及是否在攻击中无法响应。
Van Horenbeeck表示,“对于面向服务的互联网管理员来说,一个高危的漏洞和一个不重要的漏洞是有区别的。”
在过去八个月可利用系数的评级中,微软发现,一共有256个评级,其中97个为不太严重或对新版本产品不使用。有七个例子可以证明是最新的产品版本受到影响,而旧版本不会受到影响。
漏洞管理厂商Lumension安全公司的安全和法证分析主任Paul Henry表示,改变后的指数增强了一个评估工具能力,该工具对那些需要微调优先事项的管理员来说已经很有用。
Henry在一封电子邮件中写道,“微软在业界在补丁的背景信息方面已经做得很好,现在他们又开始迈向另一个缺口。”