[English readers: you can find English links in this post for your convenience]

A due anni e mezzo dalla sua nascita, l’Exploitability Index si migliora:

MSRC > Exploitability Index Improvements Now Offer Additional Guidance

Di fatto esso viene arricchito di un paio di importanti dettagli per aiutare meglio l’analisi di rischio, quell’attività che ogni mese tanti amministratori operano per determinare la priorità di installazione degli aggiornamenti di sicurezza, in modo da effettuare prima l’installazione di quelli che risolvono problemi più pericolosi (mi auguro che poi non dimentichino di operare l’installazione anche degli altri aggiornamenti, pur con meno fretta Winking smile).

Negli ultimi 8 mesi Microsoft ha analizzato gli Exploitability Index delle vulnerabilità, e ha osservato come molte volte essi fossero meno rischiosi per le ultime versioni di prodotto, rispetto agli indici relativi alle versioni più vecchie (in 97 casi su 256, parliamo di circa il 38%) e ha quindi ritenuto aggiungere questo livello di dettaglio in più per far percepire meglio i benefici di protezione che derivano dall’utilizzo delle ultime versioni di prodotto, tipicamente grazie alla presenza di nuove funzionalità di sicurezza.

Un secondo miglioramento consiste nel fornire una indicazione di quanto serio sia l’impatto in termini di disservizio (Denial of Service): le vulnerabilità di tipo Remote Code Execution che sono difficili da sfruttare bene invece di permettere appunto l’esecuzione di codice non autorizzato si traducono in attacchi di tipo Denial of Service, che possono essere lievi se il servizio/sistema riesce a recuperare da solo (sono indicati come Temporary nel nuovo Exploitability Index) o seri se provocano un blocco del sistema che si recupera solo tramite un riavvio (e questi sono chiamati Permanent): come viene giustamente sottilineato nel post MSRC, questa indicazione aggiuntiva può davvero far la differenza nel valutare la rischiosità di una vulnerabilità per sistemi esposti su Internet.

Questo nuovo indice, più dettagliato, sarà già usato a partire dal prossimo rilascio di sicurezza previsto per martedì 10 maggio: ricordo che la tabella dell’Exploitability Index viene fornita in una sezione del Microsoft Security Bulletin Summary, pubblicato allo stesso link del preavviso: per maggio sarà

Feliciano

Other related posts/resources: