it-swarm-korea.com

공급 업체가 무시한 취약점을 어떻게 에스컬레이션해야합니까?

Secure @ Microsoft가 추구 할 가치가 없다고 생각하는 취약점을 발견했습니다.

이 문제의 영향을받는 고객이 아주 많을 것으로 예상합니다.

이 문제를 해결하기 위해 풀뿌리 캠페인을 시작하고 싶지 않습니다. 그 과정에서 취약점이 공개 될 것입니다.

어떻게해야합니까?

9
goodguys_activate

다음과 같이 할 수 있습니다.

  1. 이 취약점이 왜 그토록 심각한 지, 그리고 고객이 어떤 결과를 초래할 수 있는지 설득하십시오.
  2. zDI와 같은 회사에 판매하려고합니다.
  3. 전체 공개-자세한 설명 및 솔루션 제공 (예 : 반점;

취약점을 고칠 수있는 다른 방법은 없다고 생각합니다. 또한 최근 주제에서 ASP.NET Padding Oracle 익스플로잇이 윤리적으로 노출 되었습니까? 무엇을 다르게 수행 할 수 있었습니까? 이미 지적한 보안 취약점을 공개하는 방법 윤리적 패션? .

7
anonymous

이전 답변에서 언급되지 않은 한 가지 옵션은 CERT와 협력하여 공급 업체에 문제를 제기하는 것입니다. 그들은보고 양식 자신의 사이트에 을 가지고 있으며 공급 업체와의 조정을 처리합니다.

4
Rory McCune

@Ams 답변 (토론/설득 및 전체 공개, 판매 경험이 없음) 외에도 제품 팀에 직접 문의 해 볼 수 있습니다. IF = 누구와 대화해야하는지 알고 있거나 내부에서 연락을 취합니다 ...
저도 종종 MSRC가 제품 팀보다 vulns를 받아들이는 데 조금 더 저항한다는 사실을 알게되었습니다. 일단 MSRC와 협력하여 제품을 사용하도록 시켰습니다. 이미 팀 이니까 ....)

2
AviD

나는 전에 Ams가 말했듯이 개인적으로 그것을 판매하는 것을 고려할 것입니다. 왜? 그들은 Microsoft (및 다른 그러한 회사) 내에서 더 많은 범위를 가지고 있으며 귀하와 두 번째로 귀하의 결과에 대한 대가를받습니다.

그리고 취약점을 공개하는 것에 대해 걱정하지 마십시오. 지난번에 ZDI와 같은 웹 사이트를 확인했을 때 정보가 수정 및/또는 패치 된 후에 만 ​​정보를 공개했습니다.

1
Georges Duplessy