Microsoft Corp. utilizará por primera vez las predicciones de vulnerabilidad hoy cuando emita once actualizaciones de seguridad para Windows, Office e Internet Explorer.
Anunciado desde hace más de dos meses, "Exploitability Index" se agregará a los boletines que se emiten cada mes. Los expertos en seguridad de Microsoft calificarán cada vulnerabilidad usando una tabla de tres pasos, en el siguiente orden descendente de severidad:
• Probablemente puede explotar código malicioso
• Probablemente explota código inconsistente
• Es poco probable que el códido de funcionamiento se explote
Microsoft espera que los usuarios y administradores corporativos de TI combinarán el índice calificación con las calificaciones actuales de amenazas de la compañía, el cual estima el impacto potencial desde “crítico” hasta “bajo”, para priorizar los parches.
Hoy mismo, Microsoft espera dar a conocer más información sobre otro nuevo programa del que habló en agosto, Microsoft Active Protections Program (MAPP). En un esfuerzo de compartir información, MAPP le da a vendedores selectos un adelanto temprano en firmas astutas que pueden explotar al darle detalles técnicos de las vulnerabilidades que serán parchadas antes de que se emitan. Antes de este programa, los vendedores de seguridad tenían que esperar como cualquier otro cliente de Microsoft para recibir lo parches antes de que pudieran examinar las fallas y comenzar a desarrollar protección contra la explotación del error.
Microsoft no ha dicho cuales vendedores de seguridad están participando en el programa, que tan antes habrán dado la información o hasta la cantidad o tipo de datos que Microsoft compartirá.
En respuesta a preguntas en pasado viernes, un vocero de Microsoft solo dijo que “habrá nueva información (sobre MAPP), con respecto al Exploitability Index, viene el martes con el boletín de lanzamiento”.
Sin embargo, parece que las compañías de seguridad que han sido aceptadas en MAPP recibieron previos de las vulnerabilidades de hoy desde el pasado jueves. Así, un vocero de nCircle Network Security Inc. dijo que ya que la compañía ha participado de MAPP, sus investigadores no estarían en disponibilidad de comentar la notificación previa al parche de Microsoft emitida ese día.
Microsoft lanzará sus once actualizaciones de seguridad alrededor de la 1 de la tarde hora del Este de hoy.
-Por Gregg Keizer
Computerworld (US)
FRAMINGHAM