L'unico modo in cui posso affermarlo con assoluta chiarezza è il seguente:
Una vulnerabilità è una vulnerabilità è una vulnerabilità.
Non applicare patch al problema è un esercizio di estrema irresponsabilità.
Motivi tecnici:
- Possibile escalation dei privilegi.
- Arresta da file di input danneggiati, causando problemi di UX e altri problemi.
- Se un utente vede un file innocuo (cioè non un eseguibile), può presumere che sia sicuro da usare, quindi viene pwnato quando risulta pieno di shellcode.
- Potresti spedire il programma di installazione con un software sensibile alla sicurezza.
Motivi commerciali:
- I tuoi clienti ti pagano. Fai proprio loro, perché tengono a galla la tua azienda.
- Se un blackhat sfrutta il tuo difetto, sarà un incubo PR e dovrai comunque correggere l'errore. È logico spendere il tempo di sviluppo su questo ora, piuttosto che dopo.
- Se il pubblico scopre che tu lo sapevi e non l'hai mai risolto ... beh, ottieni l'immagine.
- Puoi e verrà denunciato da aziende che perdono dati a causa di vulnerabilità nel codice, soprattutto se sanno che potresti averlo impedito.
Infine, una ragione etica. Se il tuo programma di installazione è così diffuso come sembra (ad esempio i nomi di InstallShield, Nullsoft, ecc.) Molto probabilmente avrai clienti il cui software è sensibile alla sicurezza. Questo potrebbe essere qualcosa di importante come TrueCrypt o Tor, in cui le persone possono essere letteralmente ferite o uccise per problemi di sicurezza.
Fai la cosa giusta. Risolvi il bug. Se è resistente anche dopo questo, potresti voler offrire di farlo nel tuo tempo libero, anche se fa schifo che devi lavorare non retribuito.
Con una nota un po 'meno seria, se scopro che sto eseguendo il tuo software di installazione e scopro che devi cagnare alla gestione per correggere un bug di sicurezza, probabilmente sto per scappare dalla tua azienda così: