微軟發表產品安全承諾，對外公開漏洞修補標準

微軟於本周公布了一份攸關安全承諾的草案，載明了微軟用來評估是否修補漏洞、提供安全更新的標準，以供安全社群在提交漏洞或期待微軟回應時參考。

決定微軟是否修補漏洞的兩個關鍵問題分別是該漏洞是否危及微軟承諾要維護的安全邊界或安全功能，以及漏洞的嚴重性是否符合維護條件，倘若兩個答案都是肯定的，那麼微軟即會進行安全更新，若為否定，微軟則會考慮於該產品的新版中修補它。

微軟所指的安全邊界則是在有不同信賴程度的程式碼與資料安全領域上的邏輯分離，舉例來說，核心模式與使用者模式之間就存在著安全邊界，微軟於軟體中設定了許多安全邊界以隔離網路上的裝置、隔離虛擬機器，或是隔離裝置上的應用程式等。

迄今微軟已定義了8個安全邊界，包括不允許未授權的網路終端存取或竄改客戶裝置的網路邊界、禁止非管理員權限存取或竄改核心程式與資料的核心邊界、禁止非授權用戶存取或竄改其它程序的程序邊界、禁止基於AppContainer的沙箱程序存取或竄改沙箱外程式碼與資料的AppContainer沙箱邊界、一名用戶的登入期間不得被其它未授權的用戶登入期間所存取或竄改的期間邊界、禁止未授權網站違反同源政策的瀏覽器邊界、禁止未授權 Hyper-V客座虛擬機器存取或竄改其它客座虛擬機器的程式碼或資料的虛擬機器邊界，以及禁止VSM Trustlet或Enclave內部資料或程式遭到外部程式存取或竄改的虛擬安全模式邊界。

至於在安全功能上則有7項，它們分別是裝置安全（BitLocker與Secure Boot）、平台安全（Windows Defender System Guard）、應用程式安全（Windows Defender Application Control）、身分及存取控制（Windows Hello /Biometrics與Windows Resource Access Control）、加密API、裝置健康證明（Host Guardian Service）與身分驗證協定（Authentication Protocols）。

舉凡可用來侵犯上述安全邊界或安全功能的漏洞都將被微軟列為修補與安全更新的對象。

不過，微軟特別強調有些安全功能在未經承諾下也提供了威脅防護能力，微軟將這些功能稱之為深度防禦功能（defense-in-depth）或緩解，由於它們是額外的安全功能，且有設計上的限制，因此微軟並未提供安全上的保證，還說就算繞過這些功能也不會帶來直接的威脅，因為不管如何，駭客必須先找到一個可以危及安全邊界的漏洞，或是仰賴社交工程手法才能危害裝置。

總之，微軟認為可繞過或危及深度防禦功能的漏洞都不在該公司承諾修補的範圍內，而可能會藉由之後的產品更新修補。

它們包括User Account Control、AppLocker、Controlled Folder Access、Mark of the Web、Data Execution Prevention、Address Space Layout Randomization、Kernel Address Space Layout Randomization、Arbitrary Code Guard、Code Integrity Guard、Control Flow Guard、Child Process Restriction、SafeSEH/SEHOP、Heap randomization and metadata protection、Windows Defender、Exploit Guard、Protected Process Light及Shielded Virtual Machines。