微软发表产品安全承诺，对外公开漏洞修补标准

微软于本周公布了一份攸关安全承诺的草案，载明了微软用来评估是否修补漏洞、提供安全更新的标准，以供安全社群在提交漏洞或期待微软回应时参考。

决定微软是否修补漏洞的两个关键问题分别是该漏洞是否危及微软承诺要维护的安全边界或安全功能，以及漏洞的严重性是否符合维护条件，倘若两个答案都是肯定的，那么微软即会进行安全更新，若为否定，微软则会考虑于该产品的新版中修补它。

微软所指的安全边界则是在有不同信赖程度的程式码与资料安全领域上的逻辑分离，举例来说，核心模式与使用者模式之间就存在着安全边界，微软于软件中设定了许多安全边界以隔离网络上的装置、隔离虚拟机器，或是隔离装置上的应用程序等。

迄今微软已定义了8个安全边界，包括不允许未授权的网络终端存取或窜改客户装置的网络边界、禁止非管理员权限存取或窜改核心程式与资料的核心边界、禁止非授权用户存取或窜改其它程序的程序边界、禁止基于AppContainer的沙箱程序存取或窜改沙箱外程式码与资料的AppContainer沙箱边界、一名用户的登入期间不得被其它未授权的用户登入期间所存取或窜改的期间边界、禁止未授权网站违反同源政策的浏览器边界、禁止未授权 Hyper-V客座虚拟机器存取或窜改其它客座虚拟机器的程式码或资料的虚拟机器边界，以及禁止VSM Trustlet或Enclave内部资料或程式遭到外部程式存取或窜改的虚拟安全模式边界。

至于在安全功能上则有7项，它们分别是装置安全（BitLocker与Secure Boot）、平台安全（Windows Defender System Guard）、应用程序安全（Windows Defender Application Control）、身份及存取控制（Windows Hello /Biometrics与Windows Resource Access Control）、加密API、装置健康证明（Host Guardian Service）与身份验证协定（Authentication Protocols）。

举凡可用来侵犯上述安全边界或安全功能的漏洞都将被微软列为修补与安全更新的对象。

不过，微软特别强调有些安全功能在未经承诺下也提供了威胁防护能力，微软将这些功能称之为深度防御功能（defense-in-depth）或缓解，由于它们是额外的安全功能，且有设计上的限制，因此微软并未提供安全上的保证，还说就算绕过这些功能也不会带来直接的威胁，因为不管如何，骇客必须先找到一个可以危及安全边界的漏洞，或是仰赖社交工程手法才能危害装置。

总之，微软认为可绕过或危及深度防御功能的漏洞都不在该公司承诺修补的范围内，而可能会借由之后的产品更新修补。

它们包括User Account Control、AppLocker、Controlled Folder Access、Mark of the Web、Data Execution Prevention、Address Space Layout Randomization、Kernel Address Space Layout Randomization、Arbitrary Code Guard、Code Integrity Guard、Control Flow Guard、Child Process Restriction、SafeSEH/SEHOP、Heap randomization and metadata protection、Windows Defender、Exploit Guard、Protected Process Light及Shielded Virtual Machines。