Divulgation de vulnérabilité non coordonnée : les problèmes persistants avec la DVC
Microsoft a publié un correctif pour CVE-2024-38112, qui était exploité dans la nature. L'initiative Zero Day de Trend Micro (ZDI) a signalé l'exploit à Microsoft en mai, mais cela n'a pas été reconnu dans la sortie du correctif. Cela met en évidence le manque de transparence et de coordination dans la divulgation de vulnérabilité coordonnée (CVD). Les chercheurs rencontrent souvent des problèmes de communication lorsqu'ils signalent des bugs, comme ne pas recevoir de confirmation ou de reconnaissance des vendeurs. L'initiative Secure Future de Microsoft n'a pas abouti à une transparence accrue. Les vendeurs doivent prendre des mesures pour gagner la confiance des chercheurs, comme fournir des communications claires, des reconnaissances appropriées et des informations précises sur les correctifs. ZDI aide les chercheurs à gérer les communications avec les vendeurs, mais des disputes sur la gravité des réparations et les évaluations CVSS peuvent encore surgir. Les chercheurs pourraient recourir à la divulgation publique si ils estiment que leurs rapports ne sont pas traités de manière adéquate. Malgré le concept de CVD, de nombreux vendeurs n'embrassent pas pleinement la responsabilité de coordonner avec les chercheurs. Le Cyber Safety Review Board et ProPublica ont mis en évidence les échecs de communication de Microsoft, soulignant la nécessité d'une responsabilité dans l'industrie. Les prix Vanguard de ZDI reconnaîtront les vendeurs qui démontrent l'excellence dans la CVD. Le manque de coordination dans la CVD n'affecte pas seulement les relations vendeur-chercheur, mais également la capacité des utilisateurs finaux à évaluer le risque et à faire confiance aux correctifs de sécurité.