Le vulnerabilità e le esposizioni comuni (CVE) potrebbero essere utilizzate dal governo degli Stati Uniti prima di essere rilasciate?

2

Poiché i CVE sono centralizzati da MITER, che fa parte del dipartimento della sicurezza nazionale degli Stati Uniti, mi chiedevo se alcuni CVE potevano essere "ritardati" intenzionalmente prima di essere comunicati o addirittura nascosti al pubblico per consentire ai servizi segreti statunitensi di sfruttare prima che sia corretto.

    
posta Albert James Teddy 04.10.2016 - 14:06
fonte

2 risposte

1

È molto chiaro che i governi (non solo gli Stati Uniti) fanno effettivamente uso di vulnerabilità note. Dubito che, almeno la maggior parte, dei CVE siano intenzionalmente ritardati a parte il ritardo che viene generalmente offerto al venditore per consentire loro di risolvere il problema prima del rilascio pubblico. I CVE sono riportati da un'ampia varietà di fonti e non sarebbero facilmente intercettati dai governi.

Tuttavia, vi è un problema piuttosto grande in quanto vi sono terze parti che offrono bonus di vulnerabilità di $ m per exploit dimostrabili. Questi sono molto più grandi dei bontà di bug offerti in genere dai venditori. Le vulnerabilità sono spesso vendute ai governi e non rilasciate pubblicamente.

    
risposta data 04.10.2016 - 14:34
fonte
0

Potrebbero, ma è improbabile. La ragione principale per questo è che il CVE verrà alla fine pubblicato e (si spera) riparato dal venditore. Ciò fornirebbe solo una piccola finestra di opportunità per utilizzare la vulnerabilità. Ovviamente non tenendo conto del lungo tempo di attesa tra il rilascio delle patch e l'installazione.

Molto meglio svilupparli o acquistarli direttamente e usarli senza rilasciare alcuna informazione, che potrebbe far cadere i potenziali obiettivi.

    
risposta data 04.10.2016 - 14:55
fonte

Leggi altre domande sui tag