Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 6/8/2008
Microsoft vil informere sikkerhedsfirmaer om kommende sikkerhedsrettelser. Og firmaet vil orientere om sandsynligheden for, at en sårbarhed vil blive udnyttet.Ændringerne træder i kraft med oktober måneds udsendelse af sikkerhedsrettelser fra Microsoft. Til den tid vil sikkerhedsfirmaer, der udvikler produkter, som beskytter kunderne mod angreb, få tidlig information om kommende rettelser. Dermed kan de indbygge beskyttelse mod angreb rettet mod de pågældende sårbarheder, før de bliver offentligt kendt.
Endvidere vil informationen om risikovurdering blive udvidet med Microsofts bud på, hvor sandsynligt det er, at angribere vil udnytte bestemte sårbarheder. Der bliver tre muligheder: Sandsynlighed for, at der kommer et velfungerende angrebsprogram. Sandsynlighed for, at der kommer et angrebsprogram, som ikke altid vil virke. Og endelig sandsynlighed for, at der ikke udvikles angrebsprogrammer, der virker.
Den type information er indbygget i standarden for risikovurdering af sårbarheder, Common Vulnerability Scoring System (CVSS). Men den vil Microsoft fortsat ikke benytte, skriver Computerworld US. CVSS benyttes af blandt andre US-CERT og Oracle.