Microsoft komt vanaf oktober niet alleen met informatie over beveiligingsgaten vóór er een patch is, maar biedt ook een index met de mate van kwetsbaarheid van een gat. Die ‘exploitability index’ komt voortaan mee met het maandelijkse beveiligingsbulletin van Microsoft.
De informatiebulletins die Microsoft verstuurt net vóór zijn maandelijkse patchronde krijgen vanaf oktober dit jaar ook een graadmeter voor de beveiligingsgaten. De leverancier geeft daarin aan in welke mate gaten zijn te misbruiken, dus wat de ernst van de kwestie is. Dit is gebaseerd op de huidige indeling, waarbij Microsoft slechts aangeeft of een patch kritiek of slechts belangrijk is. De nieuwe index voegt daar informatie aan toe over de kans op functionele exploits.
Deze zogeheten ‘exploitability index’ is de tweede stap in Microsofts nieuwe initiatief om de beveiliging van zijn producten te verbeteren. De eerste stap is het vooraf onthullen van gedetailleerde informatie over beveiligingsgaten. Microsoft deelt die informatie met een select gezelschap van beveiligingsleveranciers, vóórdat er dus een patch is. Dit moet de tijd verkorten tussen het ontdekken van een gat en het verschijnen van malware die daar misbruik van maakt. Dat is het ‘window of oppurtunity’ van crackers.
