web-dev-qa-db-ja.com

Common Vulnerabilities and Exposures(CVE)は、リリースされる前に米国政府によって使用できますか?

CVEは米国国土安全保障省の一部であるMITREによって一元化されているため、一部のCVEは、米国の諜報機関がその前に悪用できるように、伝達される前に意図的に「遅延」させたり、一般に公開したりすることができるのではないかと考えていました。修正されました。

2

(米国だけでなく)政府が実際に既知の脆弱性を利用していることは非常に明白です。少なくとも大多数のCVEは、一般公開前に問題を修正できるようにするためにベンダーに通常提供される遅延を除いて、意図的に遅延されているとは思えません。 CVEはさまざまなソースから報告されており、政府によって簡単に傍受されることはありません。

ただし、証明可能なエクスプロイトに対して100万ドルの脆弱性バウンティを提供するサードパーティが存在するという点で、かなり大きな問題があります。これらは、ベンダーが通常提供するバグバウンティよりもはるかに大きいものです。多くの場合、脆弱性は政府に販売され、公開されません。

1
Julian Knight

可能ですが、可能性は低いです。これの主な理由は、CVEが最終的に公開され、(うまくいけば)ベンダーによって修正されることです。これは、脆弱性を使用する機会の小さなウィンドウを与えるだけです。明らかに、パッチのリリースからインストールまでの長いリードタイムを考慮していません。

それらを直接開発または購入し、情報を公開せずに使用する方がはるかに優れています。これにより、潜在的なターゲットがチップになる可能性があります。

0
Colin Cassidy