Dans une démarche de transparence qui est à saluer, Microsoft a publié un document explicitant certains points de sa démarche de correction de bugs sur Windows.
Une vulnérabilité évaluée sur plusieurs critères
Le processus dévoilé par Microsoft semble plutôt couler de source. À chaque fois qu'une faille est mise au jour sur Windows, deux questions élémentaires se posent aux développeurs : "est-ce que la vulnérabilité viole l'une des clauses de sécurité que Microsoft s'est juré de défendre ?" et "la gravité de la faille atteint-elle un niveau nécessitant une maintenance d'urgence ?".Si la réponse à ces deux questions est "oui", le bug est patché dans la toute prochaine mise à jour de sécurité de Windows. Dans le cas où une des réponses est "non", le correctif est intégré à une mise à jour plus importante et tardive.
Les critères de maintenance abordés dans la question deux se définissent sur cinq seuils de gravité : critique, important, modéré, faible, inexistant. La réponse à la seconde question est donc positive dans le cas où la faille est considérée comme critique ou importante par les équipes.
Parmi les services du système d'exploitation particulièrement surveillés, on trouve évidemment le réseau, ainsi que la sécurité des sessions utilisateurs. Un œil est bien évidemment gardé sur l'utilisation du kernel et les opérations effectuées par les différents processus.
Davantage de détails techniques sont disponibles dans le TechCenter de Microsoft.
