web-dev-qa-db-ja.com

ベンダーによって却下された脆弱性をどのようにエスカレーションする必要がありますか?

Secure @ Microsoftが追求する価値はないと考えている脆弱性に遭遇しました。

この問題の影響を受けるお客様は非常に多いと思います。

これを修正するために草の根キャンペーンを開始したくありません。それはプロセスの脆弱性を公開することになるからです。

私は何をすべきか?

exploitvulnerabilitydisclosureethics
9
goodguys_activate

あなたは出来る:

  1. この脆弱性が非常に深刻である理由と、顧客にもたらす可能性のある影響を説得してください。
  2. zDIのような企業への販売を試みます。
  3. 完全な開示-詳細な説明と解決策を提供します。パッチ;

脆弱性を修正する方法は他にないと思います。また、あなたの最近のトピックでは ASP.NET PaddingのOracleエクスプロイトが倫理的な方法で公開されましたか?異なる方法で何ができたでしょうか? すでに指摘されていました セキュリティの脆弱性を倫理的なファッションですか?

7
anonymous

以前の回答で言及されていないオプションの1つは、CERTと協力してベンダーに問題を提起させることです。彼らは報告フォーム 彼らのサイトに を持っており、ベンダーとの調整を扱います。

4
Rory McCune

@Ams回答(ディスカッション/説得と完全な開示、私はそれらを販売したことがない)に加えて、製品チームに直接連絡してみることができます-[〜#〜] if [〜#〜] =誰と話をするべきかを知っている、または内部に連絡がある...
私はまた、MSRCが製品チームよりも脆弱性を受け入れることに対して少し抵抗があることを発見しました。一度彼らにMSRCと協力してもらい、それを受け入れてもらっています(ただし、当時は製品を扱っていましたが)すでにチームなので、....)

2
AviD

アムスが以前言ったように、私は個人的にそれを売ることを検討します。どうして?彼らはマイクロソフト(および他のそのような会社)内でより多くのリーチを持っているし、あなたと2番目にあなたはあなたの調査結果に対して報酬を受け取ります。

脆弱性の公開について心配する必要はありません。前回ZDIなどのWebサイトを確認したときは、情報が修正またはパッチされた後にのみ公開されます。

1
Georges Duplessy