I dettagli sul bug di Widevine sono ora pubblici?

1

C'era un bug in Widevine l'anno scorso che abilitava download del contenuto dell'estensione multimediale cifrata.

Hanno affermato che avrebbero fornito i dettagli completi dopo 90 giorni. Era questo significato per la divulgazione pubblica o dettagli completi solo per un gruppo di parti?

Il problema è che se il bug viene reso pubblico, non vedo come utilizzare una vecchia versione di Widevine per la visualizzazione dei video non impedisca di bypassare la correzione.

    
posta user2284570 06.07.2018 - 05:55
fonte

1 risposta

2

Dalla lettura dell'articolo collegato il modo in cui si esprime la frase riguardante la divulgazione sembra che stiano parlando di una completa divulgazione pubblica, tuttavia dopo alcune ricerche non sono riuscito a trovare una cosa del genere, nessuna carta, niente.

L'articolo riporta il seguente, personalmente, il modo in cui leggo che dopo 90 giorni rilascerà una completa divulgazione pubblica.

The researchers say the bug is very simple but won't reveal details about it until at least 90 days after their disclosure to Google, since they don't want to provide anyone who doesn't already know about the vulnerability with information that would allow them to steal movies. - Wired 26/06 - Bug in Chrome makes it easy to pirate movie

Va poi a dire

Ninety days is the minimum that Google's own security researchers in its Project Zero project give vendors to fix vulnerabilities they uncover before they disclose the bugs publicly. Wired 26/06 - Bug in Chrome makes it easy to pirate movie

Che promuove la mia idea che intendessero la divulgazione pubblica, tuttavia, come ho affermato a parte alcuni blog di un ragazzo non collegato / relativo a David Livshits e un sacco di articoli di notizie, oltre a una nota di bug da parte di Google, non lo faccio vedere qualsiasi "divulgazione pubblica" qui.

È molto probabile che si tratti di fraseggio o di scarsa ricerca da parte dei giornalisti. Il problema con questo articolo che stai usando come riferimento è, è pubblicato da un giornalista, un giornalista che potrebbe non essere nemmeno specializzato in InfoSec o qualsiasi cosa relativa a questo campo, devi prendere articoli come questo con un pizzico di sale - EG non fidarti della loro parola su tutto. (Forse cerca un po 'di giornalista e vedi se sono credibili, ecc.)

Dal mio punto di vista, dato che non riuscivo nemmeno a trovare un articolo, avrei messo in discussione il fatto che il giornalista semplicemente non lo sapeva, quindi hanno basato i "dopo 90" giorni dalla seconda citazione I referenziato dal post.

Non mi preoccuperei di provare a ottenere una risposta da Wired, probabilmente non risponderanno e anche se lo faranno dubito che in realtà sapranno la risposta che stai cercando se lo facessero avrebbero probabilmente menzionato la carta in il loro articolo La tua migliore possibilità di scoprire se la divulgazione pubblica sarà mai rilasciata / se è stata rilasciata sarebbe di contattare una delle ricerche coinvolte nel progetto, sapranno meglio di chiunque altro le loro intenzioni di divulgazione pubblica (se presenti) per ovvi motivi, se aiuta la ricerca a basarsi sull'università Ben-Gurion del Negev in Israele, forse un buon inizio sarebbe vedere se riesci a trovare un contatto lì.

    
risposta data 06.07.2018 - 09:03
fonte

Leggi altre domande sui tag