RSS Zero Day Initiative - Блог
Подписаться
Неорганизованное раскрытие уязвимостей: продолжающиеся проблемы с CVD
Компания Microsoft выпустила патч для CVE-2024-38112, который активно эксплуатировался в поле. Trend Micro Zero Day Initiative (ZDI) сообщила об эксплуате в Майкрософт в мае, но не получила подтверждения в момент выпуска патча. Это подчеркивает недостаток прозрачности и координации в рамках согласованной уязвимости (CVD). Исследователи часто сталкиваются с проблемами в общении при сообщении о багах, таких как отсутствие подтверждения или признания от поставщиков. Инициатива Microsoft Secure Future не привела к улучшению прозрачности. Поставщикам необходимо предпринимать шаги для завоевания доверия исследователей, таких как предоставление четкого общения, соответствующего признания и точной информации о патчах. ZDI помогает исследователям общаться с поставщиками, но могут возникать споры по поводу серьезности исправления и рейтингов CVSS. Исследователи могут прибегать к публичному раскрытию, если чувствуют, что их отчеты не получают должного внимания. Несмотря на концепцию CVD, многие поставщики не полностью принимают на себя ответственность за координацию с исследователями. Совет по кибербезопасности и ProPublica подчеркнули провалы Microsoft в общении, подчеркивая необходимость ответственности в отрасли. Награды ZDI Vanguard будут вручаться поставщикам, которые демонстрируют отличие в CVD. Недостаток координации в CVD не только влияет на отношения между поставщиками и исследователями, но и на способность конечных пользователей оценить риск и доверять к патчам безопасности.