Come dovrei escalare una vulnerabilità che viene respinta dal venditore?

9

Mi sono imbattuto in una vulnerabilità che protegge @ microsoft non ritiene che valga la pena di proseguire.

Ritengo che ci siano molti, molti clienti interessati da questo problema.

Non voglio avviare una campagna di base per risolvere questo problema, in quanto ciò renderebbe pubblica la vulnerabilità nel processo.

Che cosa dovrei fare?

    
posta random65537 20.11.2010 - 21:33
fonte

4 risposte

7

Potresti:

  1. cerca di convincere perché questa vulnerabilità è così grave e quali conseguenze possono avere i clienti;
  2. prova a vendere ad aziende come ZDI;
  3. vai alla divulgazione completa - fornisci una descrizione dettagliata e una soluzione, ad es. cerotto;

Suppongo che non ci siano altri modi per correggere la vulnerabilità. Inoltre, nel tuo recente argomento L'exploit Oracle di Padding ASP.NET è stato esposto in modo etico? Cosa avrebbe potuto essere fatto in modo diverso? eri già indirizzato a Come divulgare una vulnerabilità della sicurezza in modo etico? .

    
risposta data 20.11.2010 - 21:51
fonte
4

Un'opzione che non è stata menzionata nelle risposte precedenti è coinvolgente con CERT per risolvere il problema con il venditore. Hanno un modulo di segnalazione sul loro sito e gestirà il coordinamento con il venditore.

    
risposta data 13.11.2012 - 20:19
fonte
2

Oltre alla risposta @Ams (discussione / persuasione e divulgazione completa, non ho esperienza con la vendita), potresti provare a contattare direttamente il team del prodotto: SE ti capita di sapere chi parlare o avere un contatto all'interno ...
Anch'io ho scoperto che spesso i MSRC sono un po 'più resistenti ad accettare vulns rispetto al team del prodotto, e una volta li ho fatti lavorare con MSRC per convincerli a prenderlo (anche se all'epoca stavo già lavorando con il team del prodotto, quindi. ...)

    
risposta data 21.11.2010 - 13:14
fonte
1

Personalmente, considererei personalmente la vendita, come ha detto prima Ams. Perché? Hanno una maggiore portata all'interno di Microsoft (e di altre società simili) quindi tu e il secondo sei pagato per i risultati.

E non preoccuparti di pubblicare la vulnerabilità, l'ultima volta che ho controllato che siti Web come ZDI rilasciano le informazioni solo dopo che sono state riparate e / o corrette.

    
risposta data 21.11.2010 - 00:24
fonte

Leggi altre domande sui tag