Microsoft explique pourquoi certaines failles sont corrigées tardivement

le jeudi 14 juin 2018
Les processus de bugfixes sont relativement opaques pour les utilisateurs. Si les failles de sécurité majeures sont quasi instantanément bouchées par une mise à jour des systèmes d'exploitation, certaines défaillances mettent plusieurs mois avant d'être corrigées. Microsoft a dévoilé comment il procédait pour répondre à ces problématiques.

Dans une démarche de transparence qui est à saluer, Microsoft a publié un document explicitant certains points de sa démarche de correction de bugs sur Windows.

Une vulnérabilité évaluée sur plusieurs critères


Le processus dévoilé par Microsoft semble plutôt couler de source. À chaque fois qu'une faille est mise au jour sur Windows, deux questions élémentaires se posent aux développeurs : "est-ce que la vulnérabilité viole l'une des clauses de sécurité que Microsoft s'est juré de défendre ?" et "la gravité de la faille atteint-elle un niveau nécessitant une maintenance d'urgence ?".

Si la réponse à ces deux questions est "oui", le bug est patché dans la toute prochaine mise à jour de sécurité de Windows. Dans le cas où une des réponses est "non", le correctif est intégré à une mise à jour plus importante et tardive.

Les critères de maintenance abordés dans la question deux se définissent sur cinq seuils de gravité : critique, important, modéré, faible, inexistant. La réponse à la seconde question est donc positive dans le cas où la faille est considérée comme critique ou importante par les équipes.

fotolia hacker virus code


Parmi les services du système d'exploitation particulièrement surveillés, on trouve évidemment le réseau, ainsi que la sécurité des sessions utilisateurs. Un œil est bien évidemment gardé sur l'utilisation du kernel et les opérations effectuées par les différents processus.

Davantage de détails techniques sont disponibles dans le TechCenter de Microsoft.

Modifié le 14/06/2018 à 14h18
scroll top