非協調的な脆弱性開示:CVDに関する継続的な問題
マイクロソフトは、CVE-2024-38112に対するパッチをリリースしました。この脆弱性は、野生で悪用されていました。トレンド・マイクロのゼロ・デイ・イニシアチブ(ZDI)は、5月にマイクロソフトにこの脆弱性を報告しましたが、パッチのリリースで認められませんでした。これは、協調的な脆弱性開示(CVD)の透明性と協力の不足を示しています。研究者は、バグを報告する際、ベンダーとのコミュニケーションに関する問題に遭遇することが多く、確認や認識を受け取らない場合があります。マイクロソフトのSecure Future Initiativeは、透明性の向上にはつながりませんでした。ベンダーは、研究者からの信頼を獲得するために、明確なコミュニケーション、適切な認識、正確なパッチ情報を提供する必要があります。ZDIは、研究者がベンダーとのコミュニケーションを処理するのを助けますが、修復の深刻さやCVSS評価に関する論争がまだ起こる可能性があります。研究者は、報告が適切に対処されていないと感じる場合、公的な開示に訴えるかもしれません。CVDの概念にもかかわらず、多くのベンダーが研究者との協力の責任を完全に受け入れることができません。サイバー・セーフティー・レビュー・ボードとProPublicaは、マイクロソフトのコミュニケーション・ファイルを強調し、業界での責任の必要性を強調しています。ZDIのヴァンガード・アワードは、CVDで優秀さを示すベンダーを認めます。CVDの協力の不足は、ベンダーと研究者の関係だけでなく、エンドユーザーがリスクを評価し、セキュリティーパッチに対する信頼を損なうこともあります。