« En choisissant de supprimer les informations de description CVE de Patch Tuesday, Microsoft a purement et simplement pris une mauvaise décision. En se basant uniquement sur les évaluations CVSSv3, Microsoft élimine une quantité importante d’informations sur les vulnérabilités qui sont précieuses et permettent d’informer les entreprises sur les risques associés à une faille.

Avec ce nouveau format, les utilisateurs finaux perdent toute visibilité sur l’impact d’une CVE spécifique. De plus, il est pratiquement impossible de déterminer l’urgence d’un correctif donné. S’il est difficile de comprendre les avantages de cette démarche pour les utilisateurs finaux, il est cependant facile de voir en quoi ce nouveau format profite aux cybercriminels. Ces derniers procéderont à la rétro-ingénierie des correctifs et, étant donné que Microsoft ne sera pas explicite sur les détails de la vulnérabilité, l’avantage va aux attaquants, non aux défenseurs. Sans un contexte adapté pour les CVE, les défenseurs auront de plus en plus de difficultés à prioriser leurs efforts de remédiation.

Bien que nous comprenions le fait qu’ils adoptent le format standard de l’industrie dans CVSSv3, Microsoft doit également considérer que de nombreuses personnes qui examinent les versions de Patch Tuesday ne sont pas des spécialistes de la sécurité, mais des membres de l’équipe informatique chargés d’appliquer des mises à jour, qui ne sont pas toujours capables – et ne devraient pas avoir à l’être – de déchiffrer les données CVSS brutes.

Le contexte est primordial et il est extrêmement décevant de voir Microsoft supprimer cet élément de l’équation. »