Hubo un error en Widevine el año pasado que habilitó descargando contenido de extensión de medios cifrados.
Declararon que darían todos los detalles después de 90 días. ¿Fue esto para divulgación pública o detalles completos solo para un conjunto de partes?
El problema es que si el error se divulga públicamente, no veo cómo el uso de una versión antigua de Widevine para ver videos no impida omitir la corrección.
Al leer el artículo vinculado, la forma en que expresan la oración con respecto a la revelación parece que están hablando de divulgación pública completa, sin embargo, después de algunas búsquedas no pude encontrar una cosa así, no hay papel, nada.
El artículo dice lo siguiente, personalmente, la forma en que lo leí es que después de 90 días se publicará una divulgación pública completa.
Los investigadores dicen que el error es muy simple, pero no revelará detalles al respecto hasta al menos 90 días después de su divulgación a Google, ya que no quieren proporcionar a nadie que no sepa sobre la vulnerabilidad información. Eso les permitiría robar películas. - Wired 26/06 - Bug in Chrome hace que sea más fácil piratear películas
Luego pasa a decir
Noventa días es el mínimo que los propios investigadores de seguridad de Google en su proyecto del Proyecto Cero le dan a los proveedores para que corrijan las vulnerabilidades que descubren antes de que revelen los errores públicamente. Wired 26/06 - Bug in Chrome hace que sea más fácil piratear películas
Lo que promueve mi idea de que se referían a la divulgación pública, sin embargo, como dije, aparte de algunos blogs de un tipo no vinculado / relacionado con David Livshits y un montón de artículos de noticias, además de una nota de error de Google, no lo hago. ver cualquier "divulgación pública" aquí.
Es muy probable que esto se deba a una redacción o una investigación deficiente por parte de los periodistas. El problema con este artículo que está utilizando como referencia es que lo publica un periodista, un periodista que quizás ni se especialice en InfoSec ni en nada relacionado con este campo, debe tomar artículos como este con una pizca de sal: por ejemplo, No confíes en su palabra en todo. (Tal vez investigue un poco sobre el periodista y vea si son creíbles, etc.)
Desde mi punto de vista, ya que ni siquiera pude encontrar un documento, lo atribuía al hecho de que el periodista simplemente no lo sabía, por lo que basaron los "después de 90" días de la segunda cita que escribí. referenciado desde la publicación.
No me molestaría en intentar obtener una respuesta de Wired, es probable que no respondan, e incluso si lo hacen, dudo que realmente sepan la respuesta que está buscando. Si es así, probablemente mencionaron el documento. su artículo. Su mejor oportunidad de descubrir si alguna vez se divulgará o no la divulgación pública / si se ha publicado sería contactar a una de las investigaciones involucradas en el proyecto, ellos sabrán mejor que nadie acerca de sus intenciones de divulgación pública (si corresponde) por razones obvias, si ayuda, la investigación se basó en la Universidad Ben-Gurion del Negev en Israel, por lo que quizás sería un buen comienzo ver si puedes encontrar un contacto allí.
Lea otras preguntas en las etiquetas vulnerability drm html-5 chromium