アカウント名:
パスワード:
今回のツイートは悪用可能性が低いとしていた見解を撤回する形になっているわけだけどMSはどういう基準でリスク評価しているんだろう?
ストーリーのリンク先に全部書いてあるが……CVE-2020-1472 | Netlogon の特権の昇格の脆弱性 [microsoft.com]
悪用可能性指標以下の表には、この脆弱性に対する公開時の悪用可能性指標を示しています。一般に公開 悪用 最新のソフトウェア リリース 過去のソフトウェア リリース サービス拒否なし なし 2 - 悪用される可能性は低い 2 - 悪用される可能性は低い N/A
パッチを公開した8月11日時点ではPoCは不明で悪用も確認されていなかった。その後9月11日にセキュリティ企業がPoCを公開したので悪用可能性が高くなった。仮に悪用された場合の深刻さを示すCVSSスコアとは評価軸が異なる。
「悪用可能性指標」は、「パッチ公開時にどれだけヤバイか(手遅れ度)の指標」で、パッチ適用の優先順位を付けるために使う副材料だからね。補足すると、マイクロソフトの悪用可能性指数(英文) [microsoft.com]ページ見れば評価基準が書いて有る。日本語が良い人はBlog参照 [microsoft.com]して。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー
悪用可能性評価 (スコア:0)
今回のツイートは悪用可能性が低いとしていた見解を撤回する形になっているわけだけど
MSはどういう基準でリスク評価しているんだろう?
Re:悪用可能性評価 (スコア:1)
ストーリーのリンク先に全部書いてあるが……
CVE-2020-1472 | Netlogon の特権の昇格の脆弱性 [microsoft.com]
パッチを公開した8月11日時点ではPoCは不明で悪用も確認されていなかった。
その後9月11日にセキュリティ企業がPoCを公開したので悪用可能性が高くなった。
仮に悪用された場合の深刻さを示すCVSSスコアとは評価軸が異なる。
Re:悪用可能性評価 (スコア:3, 参考になる)
「悪用可能性指標」は、「パッチ公開時にどれだけヤバイか(手遅れ度)の指標」で、パッチ適用の優先順位を付けるために使う副材料だからね。
補足すると、マイクロソフトの悪用可能性指数(英文) [microsoft.com]ページ見れば評価基準が書いて有る。
日本語が良い人はBlog参照 [microsoft.com]して。