Dado que las CVE están centralizadas por MITRE, que forma parte del departamento de seguridad nacional de los EE. UU., me preguntaba si algunas CVEs podrían "retrasarse" a propósito antes de ser comunicadas o incluso ocultas al público para permitir que los servicios de inteligencia de los EE. UU. antes de que se corrija.
Es muy claro que los gobiernos (no solo los EE. UU.) sí hacen uso de vulnerabilidades conocidas. Dudo que, al menos la mayoría, de los CVE se retrasen deliberadamente, aparte de la demora que normalmente se ofrece al proveedor para permitirles solucionar el problema antes del lanzamiento público. Los CVE se informan a partir de una amplia variedad de fuentes y los gobiernos no los podrían interceptar fácilmente.
Sin embargo, hay un problema bastante mayor en el sentido de que hay terceros que ofrecen recompensas de vulnerabilidad de $ m por proyecciones demostrables. Estos son mucho más grandes que las recompensas de errores que suelen ofrecer los proveedores. Las vulnerabilidades a menudo se venden a los gobiernos y no se publican públicamente.
Podrían, pero es poco probable. La razón principal de esto es que el CVE finalmente será publicado y (con suerte) arreglado por el proveedor. Esto solo daría una pequeña ventana de oportunidad para utilizar la vulnerabilidad. Obviamente, no se tiene en cuenta el largo plazo entre la versión del parche y la instalación.
Es mucho mejor desarrollarlos o comprarlos directamente y usarlos sin divulgar ninguna información, lo que podría alertar sobre posibles objetivos.
Lea otras preguntas en las etiquetas government cve