Esiste un processo documentato per il rilascio di informazioni ufficiali per le vulnerabilità soggette a embargo nel sistema CVE (Common Vulnerabilities and Exposures)?
Se esiste un tale processo, come affrontare situazioni come la recente vulnerabilità del page-table di Intel Kernel, in cui la vulnerabilità è già stata divulgata pubblicamente tramite canali non ufficiali, e un exploit proof-of-concept pubblicamente disponibile è già stato documentato ?
Ho tentato di stimare l'impatto della recente vulnerabilità della tabella di pagina del kernel Intel sottoposta a embargo menzionata in questa domanda . Come menzionato in questo post, questa vulnerabilità ha numerosi riferimenti in social media account risalenti al 4 novembre , forums , molte notizie siti , e patch per Linux (4 dicembre) sono stati persino benchmark . Esiste anche un articolo di Wikipedia su di esso, così come documentazione pubblica che risale a 6 mesi. La mancanza di informazioni ufficiali su questa vulnerabilità e l'intenso controllo pubblico del difetto hardware e del work inund del software in sospeso hanno portato alla pubblicazione di una grande quantità di informazioni contrastanti.
Con tutte queste informazioni non ufficiali disponibili, non ho ancora incontrato un singolo identificatore associato alla vulnerabilità che fornisce un riferimento comune per le patch e le discussioni. Sappiamo che esiste un numero CVE, ma dal momento che è embargo, né il numero né alcuna documentazione ufficiale è stata rilasciata al pubblico. Gli aggiornamenti Linux contenenti patch per questa vulnerabilità saranno rilasciati da Amazon non appena il 5 gennaio e uno simile da Microsoft è atteso per il 9 gennaio, tuttavia non ci sono informazioni ufficiali disponibili, il che comporterà la distribuzione di questi aggiornamenti da parte di molte organizzazioni (tra cui il mio) basato solo su informazioni selvaggiamente conflittuali riguardanti la causa, mentre si è verificato un calo prestazionale del 30% a più livelli di molti stack software.
Comprendo l'idea alla base dell'embargo - divulgare troppe informazioni prima che una soluzione o soluzione alternativa sia disponibile darà un vantaggio a individui o organizzazioni che scrivono exploit. Tuttavia, la quantità di informazioni non ufficiali già disponibili sembra aver reso l'embargo un punto controverso, considerando che ci sono già exploit proof-of-concept documentato .