Poiché i CVE sono centralizzati da MITER, che fa parte del dipartimento della sicurezza nazionale degli Stati Uniti, mi chiedevo se alcuni CVE potevano essere "ritardati" intenzionalmente prima di essere comunicati o addirittura nascosti al pubblico per consentire ai servizi segreti statunitensi di sfruttare prima che sia corretto.
È molto chiaro che i governi (non solo gli Stati Uniti) fanno effettivamente uso di vulnerabilità note. Dubito che, almeno la maggior parte, dei CVE siano intenzionalmente ritardati a parte il ritardo che viene generalmente offerto al venditore per consentire loro di risolvere il problema prima del rilascio pubblico. I CVE sono riportati da un'ampia varietà di fonti e non sarebbero facilmente intercettati dai governi.
Tuttavia, vi è un problema piuttosto grande in quanto vi sono terze parti che offrono bonus di vulnerabilità di $ m per exploit dimostrabili. Questi sono molto più grandi dei bontà di bug offerti in genere dai venditori. Le vulnerabilità sono spesso vendute ai governi e non rilasciate pubblicamente.
Potrebbero, ma è improbabile. La ragione principale per questo è che il CVE verrà alla fine pubblicato e (si spera) riparato dal venditore. Ciò fornirebbe solo una piccola finestra di opportunità per utilizzare la vulnerabilità. Ovviamente non tenendo conto del lungo tempo di attesa tra il rilascio delle patch e l'installazione.
Molto meglio svilupparli o acquistarli direttamente e usarli senza rilasciare alcuna informazione, che potrebbe far cadere i potenziali obiettivi.
Leggi altre domande sui tag government cve