비정규 취약점 공개: CVD와 관련된 지속적인 문제
Microsoft는 야생에서 악용되고 있던 CVE-2024-38112에 대한 패치를 릴리스했습니다. 트렌드 마이크로 제로 데이 이니셔티브(ZDI)는 5월에 이 익스플로잇을 Microsoft에 보고했지만 패치 릴리스에서 인정받지 못했습니다. 이는 공동 취약점 공개(CVD)의 투명성과 조정이 부족하다는 것을 강조합니다. 연구자들은 버그를 보고할 때 공급업체로부터 확인이나 승인을 받지 못하는 등 커뮤니케이션 문제에 직면하는 경우가 많습니다. Microsoft의 안전한 미래 이니셔티브는 투명성을 개선하지 못했습니다. 공급업체는 명확한 커뮤니케이션, 적절한 승인, 정확한 패치 정보 제공 등 연구자의 신뢰를 얻기 위한 조치를 취해야 합니다. ZDI는 연구자가 공급업체와의 커뮤니케이션을 처리하는 데 도움이 되지만, 수정 심각도 및 CVSS 등급에 대한 분쟁이 여전히 발생할 수 있습니다. 연구자는 자신의 보고가 적절하게 처리되지 않는다고 생각되면 공개에 의존할 수 있습니다. CVD의 개념에도 불구하고 많은 벤더가 연구자와 협력해야 할 책임을 완전히 받아들이지 않습니다. 사이버 안전 검토 위원회와 프로퍼블리카는 마이크로소프트의 커뮤니케이션 실패를 지적하며 업계에서 책임감 있는 자세가 필요하다고 강조했습니다. ZDI의 뱅가드 어워드는 CVD 분야에서 우수성을 입증한 벤더에게 수여됩니다. CVD의 조율 부족은 공급업체와 연구자 관계뿐만 아니라 최종 사용자의 위험 평가 능력과 보안 패치에 대한 신뢰에도 영향을 미칩니다.