Avis de sécurité Microsoft (rating)
La mission du Microsoft Security Response Center (MSRC) est d’aider nos clients à exploiter leurs systèmes et réseaux de façon sécurisée. Un des aspects de cette mission consiste à évaluer les présomptions de vulnérabilités des produits Microsoft soumis par des tiers et, si nécessaire, assurer l'édition et la diffusion des correctifs et des bulletins de sécurité en relation.
Le MSRC publie un bulletin pour toute vulnérabilité de produit susceptible d’avoir un impact sur les systèmes des clients, quelque soit la probabilité ou le niveau de cet impact. Cependant, il peut être difficile pour nos clients d’identifier les vulnérabilités qui, associées à certaines menaces, peuvent représenter un niveau de risque significatif.
Par le passé, les attaques qui ont eu le plus d’impact résultent rarement de l’exploitation de vulnérabilités inconnues. Il s’agit plutôt, comme dans le cas des vers Code Red et Nimda, de l’exploitation de vulnérabilités pour lesquelles des correctifs sont disponibles depuis longtemps, mais qui n’ont pas été appliqués.
Toutes les vulnérabilités n’ont pas le même impact sur tous les utilisateurs. Ce document présente notre échelle d’indices de gravité pour les bulletins de sécurité. Ce système, mis à jour en novembre 2002 pour intégrer les suggestions de clients, a pour but d’aider à identifier les correctifs à appliquer et de donner une indication du caractère d’urgence d'un problème. Nos clients nous ont invités à inclure ces informations dans nos bulletins afin de les aider à évaluer leurs propres risques.
Échelle des indices de gravité
L'échelle des indices de gravité associe un indice unique à chaque vulnérabilité. Les définitions des indices sont :
| Niveau | Définition |
|---|---|
| Critique | Vulnérabilité dont l’exploitation pourrait permettre de propager un ver Internet sans aucune action de l’utilisateur. |
| Important | Vulnérabilité dont l’exploitation pourrait entraîner la compromission des caractères de confidentialité, d’intégrité et/ou de disponibilité des données des utilisateurs, ou de l’intégrité et/ou de la disponibilité des ressources de traitement. |
| Modéré | Vulnérabilité dont l'exploitabilité est diminuée de façon significative par des facteurs tels que la configuration par défaut, l'audit ou sa difficulté intrinsèque à être exploitée. |
| Faible | Vulnérabilité extrêmement difficile à exploiter ou ayant un impact minime. |
Nous indiquerons, le cas échéant, les cas où la gravité d’une vulnérabilité dépend de l’environnement système ou du mode d’utilisation. Ces indices reposent sur l’hypothèse que la vulnérabilité est connue et que le code ou les scripts qui l’exploitent sont disponibles.
Utilisation de cette échelle
Cette échelle des indices de gravité sera à présent appliquée à tous les nouveaux bulletins de sécurité. En ce qui concerne les correctifs qui portent sur des vulnérabilités multiples, il sera indiqué l'indice lié à la vulnérabilité la plus grave. De plus, le bulletin correspondant fournira toujours l'indice correspondant à chaque problème décrit.
Un client qui utilise un produit affecté devrait généralement appliquer les correctifs qui résolvent les vulnérabilités de niveau critique ou important. Les correctifs identifiés comme critiques doivent être appliqués aussi rapidement que possible. Les clients doivent lire le bulletin de sécurité associé à toute vulnérabilité identifiée comme modérée ou faible pour déterminer si elle risque d'affecter la configuration de leurs systèmes. Les correctifs dont l’indice de gravit est faible sont a priori moins susceptibles d’affecter la plupart de nos clients.
Bien que cette échelle des indices de gravité ait été conçue pour évaluer les problèmes de façon aussi objective que possible, nous recommandons fortement aux clients d’évaluer leur propre environnement et de décider en conséquence des correctifs à appliquer pour protéger leurs systèmes.
Le forum aux questions relatif aux modifications apportées en novembre 2002 au système des indices de gravité est accessible ici
.