風險程度註解
保安公告按保安漏洞本身的潛在影響及實際受攻擊的情況進行初步評估,並劃分為不同的風險程度。一般而言,保安漏洞有機會對目標系統產生不同程度的影響。以下列舉一些例子 ( 例子並非詳盡無遺 ) :
- 低度影響 : 如仿冒、跨網站指令碼。
- 中度影響 : 如權限提升、繞過保安限制、資料洩露、篡改。
- 高度影響 : 如阻斷服務、遠端執行程式碼。
以下列表是風險程度的分類 :
低度風險
通常用於可導致 低度影響 的漏洞。且在漏洞被披露的時候,符合以下任何一種情況 :
- 漏洞剛被發現。
- 已有概念驗證碼。
注意:
為了能令公眾更聚焦於中度或以上風險程度的保安漏洞,除非該低度風險的保安漏洞需公眾的特別關注外,本中心將不會發佈此級別的公告。
中度風險
符合以下其中一項條件將屬於中度風險 :
- 通常用於可導致 低度影響 的漏洞。且在漏洞被披露的時候,符合以下任何一種情況 :
- 已發現有公開的攻擊代碼。
- 攻擊者利用此漏洞觸發零星攻擊。
- 通常用於可導致 中度影響 的漏洞。且在漏洞被披露的時候,符合以下任何一種情況 :
- 漏洞剛被發現。
- 已有概念驗證碼。
- 已發現有公開的攻擊代碼。
- 攻擊者已利用此漏洞觸發零星攻擊。
- 通常用於可導致 高度影響 的漏洞。且在漏洞被披露的時候,漏洞剛被發現。
高度風險
符合以下其中一項條件將屬於高度風險 :
- 通常用於可導致 低度和中度影響 的漏洞。且在漏洞被披露的時候,已發現攻擊者利用此漏洞進行廣泛攻擊。
- 通常用於可導致 高度影響 的漏洞;且在漏洞被披露的時候,符合以下任何一種情況 :
- 已有概念驗證碼。
- 已發現有公開的攻擊代碼。
- 攻擊者已利用此漏洞觸發零星攻擊。
極高度風險
通常用於可導致 高度影響 的漏洞;且在漏洞被披露的時候,已發現攻擊者利用此漏洞進行廣泛攻擊。
其他考慮因素:
除了以上的條件外,香港電腦保安事故協調中心(HKCERT)亦會因應一些以上未提及的其他考慮因素而對風險程度評估作出相應調整。考慮因素包括但不限於社會影響、有關漏洞被利用時所需的特殊條件(如需要用戶互動、需具身份認證或權限等)、是否存在修補方法、是否影響重要基建、及能否直接於目標系統中取得完全控制等。
免責聲明:
香港電腦保安事故協調中心及香港生產力促進局保留不時修改風險程度註解的權利而無須另行通知。本中心及香港生產力促進局保留對風險程度評估作出調整的權利、包括以上未提及的風險程度註解。
我們雖已盡力確保本網站所含資料均來自可靠來源,但香港電腦保安事故協調中心對任何錯誤或遺漏或使用相關資料所招致的結果概不負責。 本網站上的所有資料均以當時情況提供,不擔保其完整性、準確性、及時性、或使用相關資料所招致的結果,亦不作任何明示或隱含的保證,包括但不限於其性能保證、適售性和特定用途的適用性。
本網站包含的資料僅供參考。 信賴或使用相關資料由讀者自行承擔風險。 本網站的任何內容均不得在任何程度上替代讀者的獨立調查和合理的技術和商業判斷。 在任何情況下,香港電腦保安事故協調中心、香港生產力促進局、或其合作夥伴、員工或代理商,均不對你或任何人信賴本網站相關資料做出的任何決定或行動,或任何後果性,特殊或類似的損害承擔責任。
舊的嚴重程度註解,請按這裡。
審核日期: 2019-08-06