¿Cómo debo escalar una vulnerabilidad que es desestimada por el proveedor?

9

Me he encontrado con una vulnerabilidad que secure @ microsoft no cree que valga la pena seguir.

Estimaría que hay muchos, muchos clientes afectados por este problema.

No quiero iniciar una campaña de base para solucionar este problema, ya que eso publicaría la vulnerabilidad en el proceso.

¿Qué debo hacer?

    
pregunta random65537 20.11.2010 - 21:33
fuente

4 respuestas

7

Podrías:

  1. intente persuadir de por qué esta vulnerabilidad es tan grave y qué consecuencias pueden tener los clientes;
  2. intente vender a empresas como ZDI;
  3. vaya a la divulgación completa: proporcione una descripción y solución detalladas, por ejemplo parche;

Supongo que no hay otras formas en que pueda corregir su vulnerabilidad. También, en su tema reciente ¿El exploit Oracle de ASP.NET Padding fue expuesto de manera ética? ¿Qué se podría haber hecho de manera diferente? ya te indicaron ¿Cómo divulgar una vulnerabilidad de seguridad de una manera ética? .

    
respondido por el anonymous 20.11.2010 - 21:51
fuente
4

Una opción que no se ha mencionado en las respuestas anteriores es interactuar con CERT para que el problema se plantee con el proveedor. Tienen un formulario de informe en su sitio y manejarán la coordinación con el proveedor.

    
respondido por el Rоry McCune 13.11.2012 - 20:19
fuente
2

Además de la respuesta de @Ams (discusión / persuasión y divulgación completa, no tengo experiencia en la venta de ellos), posiblemente intente ponerse en contacto directamente con el equipo del producto, SI sabe a quién acudir. hable con, o tenga un contacto en el interior ...
También he encontrado que a menudo el MSRC es un poco más resistente a aceptar las vulnerabilidades que el equipo del producto, y una vez que hice que trabajaran con el MSRC para que lo tomaran (aunque en ese momento ya estaba trabajando con el equipo del producto, por lo que ...)

    
respondido por el AviD 21.11.2010 - 13:14
fuente
1

Yo personalmente consideraría venderlo, como dijo Ams antes. ¿Por qué? Tienen más alcance dentro de Microsoft (y otras compañías similares) que usted y luego le pagan por sus hallazgos.

Y no se preocupe por publicar la vulnerabilidad, la última vez que revisé sitios web como ZDI solo libero la información después de que se haya corregido y / o revisado.

    
respondido por el Georges Duplessy 21.11.2010 - 00:24
fuente

Lea otras preguntas en las etiquetas