it-swarm-es.com

¿Cómo debo escalar una vulnerabilidad que es descartada por el proveedor?

Me he encontrado con una vulnerabilidad que secure @ Microsoft no cree que valga la pena perseguir.

Calculo que hay muchos, muchos clientes afectados por este problema.

No quiero iniciar una campaña de base para arreglar esto, ya que eso publicaría la vulnerabilidad en el proceso.

¿Qué tengo que hacer?

9
goodguys_activate

Tú podrías:

  1. tratar de persuadir por qué esta vulnerabilidad es tan grave y qué consecuencias pueden tener los clientes;
  2. tratar de vender a empresas como ZDI;
  3. ir a la divulgación completa: proporcione una descripción detallada y una solución, p. parche;

Supongo que no hay otras formas de solucionar tu vulnerabilidad. Además, en su tema reciente ¿El exploit de Oracle de relleno de ASP.NET se expuso de una manera ética? ¿Qué podría haberse hecho de manera diferente? ya se le señaló Cómo revelar una vulnerabilidad de seguridad en ¿una moda ética? .

7
anonymous

Una opción que no se ha mencionado en las respuestas anteriores es colaborar con CERT para que se plantee el problema con el proveedor. Tienen un formulario de informes en su sitio y se encargarán de la coordinación con el proveedor.

4
Rory McCune

Además de la respuesta de @Ams (discusión/persuasión y divulgación completa, no tengo experiencia en venderlos), podría intentar comunicarse directamente con el equipo de producto - IF = sabe con quién hablar o tiene un contacto en el interior ...
Yo también descubrí que a menudo los MSRC son un poco más resistentes a aceptar vulns que el equipo de producto, y una vez que los hice trabajar con MSRC para que lo aceptaran (aunque en ese momento estaba trabajando con equipo ya, entonces ...)

2
AviD

Personalmente, consideraría venderlo, como dijo Ams antes. ¿Por qué? Tienen más alcance dentro de Microsoft (y otras compañías similares) que usted y, en segundo lugar, le pagan por sus hallazgos.

Y no se preocupe por publicar la vulnerabilidad, la última vez que verifiqué sitios web como ZDI solo publicaron la información después de que se corrigió y/o parchó.

1
Georges Duplessy