详细内容或原文请订阅后点击阅览
ZDI 因微软再次协调漏洞披露失误而羞辱微软
独家“他们似乎真的不完全了解这个补丁发生了什么”趋势科技的零日计划团队声称在5月份发现并报告给雷德蒙德的一个微软零日漏洞,该漏洞在7月的补丁星期二被这家Windows巨头披露并修补——但没有给予ZDI任何荣誉。
来源:The Register _恶意软件独家报道 趋势科技的 Zero Day Initiative 团队声称,他们于 5 月发现并向雷德蒙德报告了一个微软零日漏洞,而这家 Windows 巨头在 7 月的补丁星期二披露并修补了该漏洞,但并未将功劳归于 ZDI。
独家报道该漏洞的编号为 CVE-2024-38112,位于 MSHTML 又名 Trident(即微软的 Internet Explorer 专有浏览器引擎)中。雷德蒙德称其为欺骗漏洞,并指出该漏洞正在被野外利用,并为其分配了 7.5 分(满分 10 分)的 CVSS 严重性评分。
CVE-2024-38112 编号为与此同时,ZDI 认为这是一个远程代码执行漏洞,可能会获得更严重的评级。
ZDI 威胁意识主管 Dustin Childs 在接受 The Register 独家采访时表示:“他们说我们报告的只是纵深防御修复,但他们不会告诉我们纵深防御修复到底是什么。”
The Register我们已经要求微软发表评论,如果收到回复,我们将更新此报道。
据 Childs 称,这一系列不幸事件不仅凸显了微软漏洞报告程序存在问题,而且也凸显了协调漏洞披露流程存在问题。
甚至直到周五下午,他哀叹道,“在我们进行这次对话时,[趋势科技] 的人员仍在与微软通话,试图弄清楚发生了什么。”
“我不想这么说,”他继续说,“但看起来他们真的没有完全了解这个补丁的情况。”
供应商希望研究人员提前与他们协调,但一旦他们发现漏洞,他们就会停止与研究人员协调
供应商希望研究人员提前与他们协调,但一旦他们发现漏洞,他们就会停止与研究人员协调
据 Childs 介绍,ZDI 发现了这个漏洞,并于 5 月中旬向微软报告。然后团队就没有听到任何消息,直到周二看到软件更新。
The Register 技术分析 此处