¿Es CVE-2017-5428 (mfsa2017-08) un día cero?

2

CVE-2017-5428 aka MFSA-2017-08 es un número entero Vulnerabilidad de desbordamiento en Mozilla Firefox. Se informó a través del concurso Pwn2Own y se corrigió en Firefox 52.0.1.

Este artículo lo describe como una vulnerabilidad de día cero, pero Pensé que Pwn2Own usaba una política de divulgación coordinada? El error de Mozilla no está abierto todavía, y no puedo encontrar información de exploits en ningún otro lugar, pero quizás no sé dónde buscar.

¿Necesitamos entrar en pánico (por así decirlo) o podemos tratar el 52.0.1 con la misma urgencia pero no pánico como cualquier otra actualización de seguridad del navegador web?

    
pregunta Harry Johnston 28.03.2017 - 23:58
fuente

2 respuestas

2

No, esto no es un día cero. No hay evidencia de que esta vulnerabilidad haya sido explotada en ningún ataque antes del parche. Es solo una nueva vulnerabilidad en Firefox, demostrada durante Pwn2Own.

    
respondido por el Valery Marchuk 29.03.2017 - 03:13
fuente
2

El día cero no es una categorización útil para evaluar el riesgo. En términos de riesgo, lo que importa es:

  • ¿Este error está siendo explotado activamente en la naturaleza?
  • ¿Cuán amplio es el conocimiento de este error?
  • ¿Qué tan difícil sería reproducir una vulnerabilidad de este error, dado el conocimiento público disponible de este error?

La nueva versión de Firefox está disponible, por lo que se ha publicado el conocimiento de este error (al menos los cambios en el código fuente necesarios para solucionarlo). No tengo conocimiento de lo difícil que sería reproducir el exploit.

La urgencia con la que debe parchear depende de sus recomendaciones esperadas, ¿es de interés para los gobiernos o los delincuentes organizados? Si es así actualiza ahora. Si no, sigue el proceso normal de actualizaciones de seguridad.

Cuando el error se usó en Pwn2Own, el error fue un "día cero", es decir, el proveedor no estaba al tanto. Una vez que se reveló a Firefox (una de las condiciones de Pwn2Own) dejó de ser un "día cero", es decir, el proveedor estaba al tanto.

    
respondido por el David Waters 29.03.2017 - 00:20
fuente

Lea otras preguntas en las etiquetas