CVE-2017-5428 (mfsa2017-08) è un giorno zero?

2

CVE-2017-5428 alias MFSA-2017-08 è un numero intero vulnerabilità di overflow in Mozilla Firefox. È stato segnalato tramite il concorso Pwn2Own e corretto in Firefox 52.0.1.

Questo articolo lo descrive come vulnerabilità zero-day, ma Pensavo che Pwn2Own usasse una politica di divulgazione coordinata? Il bug di Mozilla non è ancora aperto e non riesco a trovare le informazioni sugli exploit da nessun'altra parte, ma forse non so dove cercare.

Abbiamo bisogno di andare in panico (per così dire) o possiamo trattare 52.0.1 sulla stessa base urgente ma non panico di ogni altro aggiornamento di sicurezza del browser Web?

    
posta Harry Johnston 28.03.2017 - 23:58
fonte

2 risposte

2

No, non è un giorno zero. Non ci sono prove che questa vulnerabilità sia stata sfruttata in qualsiasi attacco prima della patch. È solo una nuova vulnerabilità in Firefox, dimostrata durante Pwn2Own.

    
risposta data 29.03.2017 - 03:13
fonte
2

Zero-day non è una categorizzazione utile per valutare il rischio. In termini di rischio ciò che conta è:

  • Questo bug viene sfruttato attivamente in natura?
  • Quanto è ampia la conoscenza di questo bug?
  • Quanto sarebbe difficile riprodurre un exploit di questo bug, data la conoscenza a disposizione del pubblico di questo bug.

La nuova versione di firefox è disponibile, quindi è stata pubblicata la conoscenza di questo bug (almeno le modifiche al codice sorgente richieste per risolverlo). Non ho conoscenza di quanto sarebbe difficile riprodurre l'exploit.

L'urgenza con cui dovresti applicare la patch dipende dai tuoi consigli previsti, sei interessato a governi o criminali organizzati? Se è così aggiorna ora. Se non segui la normale procedura per gli aggiornamenti di sicurezza.

Quando il bug veniva usato in Pwn2Own il bug era un "Zero-day", cioè il venditore non ne era a conoscenza. Una volta divulgato a Firefox (una delle condizioni di Pwn2Own), ha smesso di essere un "Zero-day", cioè il venditore era a conoscenza.

    
risposta data 29.03.2017 - 00:20
fonte

Leggi altre domande sui tag