Recopilación de información de CVE y MSB para escribir una prueba de concepto

Question

Recopilación de información de CVE y MSB para escribir una prueba de concepto

#1 de Rory Alsop (2 votos)

0

Actualmente estoy interesado en saber cómo escribir un código de prueba de concepto para las vulnerabilidades recientes que se publican cada mes por el CVE y Boletín de seguridad de Microsoft .

Estos sitios web enumeran que se han producido vulnerabilidades, pero no explican cómo funciona la vulnerabilidad. Por ejemplo, el boletín de seguridad de Microsoft tiene una línea muy genérica que describe cómo funciona la vulnerabilidad:

archivo de Microsoft Word especialmente diseñado

Esto no da ninguna información de cómo funciona la falla. CVE también es limitado. No obtengo la información de por qué no se proporciona ya que el parche ya se ha publicado.

¿Hay recursos en algún lugar de la web donde pueda conocer cómo funcionan las vulnerabilidades recientemente lanzadas?

vulnerability exploit

pregunta Sreyan 14.12.2014 - 09:48

fuente

1 respuesta

Lea otras preguntas en las etiquetas vulnerability exploit

Efecto del bombardeo de correo Sólo el puerto HTTP (S) está abierto. ¿Por qué debo preocuparme por el software sin parchear?

score 2 · Answer 1

Cuando los exploits se publican por primera vez en CVE u otros, el descubridor de exploits generalmente proporciona código / descripción / POC al proveedor del producto afectado.

Esto les permite construir una solución o parche.

Si la información se proporcionara públicamente, permitiría a cualquier atacante construir un exploit.

La información publicada públicamente es suficiente para que los administradores de sistemas entiendan lo que deben hacer inmediatamente, antes de que esté disponible un parche.