Raccolta di informazioni da CVE e MSB per scrivere proof-of-concept

Naviga le tue risposte
0

Attualmente sono interessato a sapere come scrivere un codice di proof-of-concept per le vulnerabilità recenti che vengono rilasciate ogni mese dal CVE e Bollettino Microsoft sulla sicurezza .

Questi siti web elencano che le vulnerabilità si sono verificate ma non spiegano come funziona la vulnerabilità. Ad esempio, il Bollettino Microsoft sulla sicurezza presenta una riga molto generica che descrive come funziona la vulnerabilità:

specially crafted Microsoft Word file

Questo non fornisce alcuna informazione su come funziona il difetto. CVE è anche limitato. Non capisco perché le informazioni non sono fornite poiché la patch è già stata rilasciata.

Ci sono risorse ovunque sul web dove posso sapere come funzionano le vulnerabilità rilasciate di recente?

    
posta Sreyan 14.12.2014 - 09:48
fonte

1 risposta

2

Quando gli exploit vengono pubblicati per la prima volta su CVE o altri, lo scopritore di exploit di solito fornisce codice / descrizione / POC al venditore del prodotto interessato.

Ciò consente loro di creare una correzione o una patch.

Se le informazioni sono state fornite pubblicamente, consentirebbero a qualsiasi utente malintenzionato di creare un exploit.

Le informazioni pubblicate pubblicamente sono sufficienti per consentire agli amministratori di sistema di capire immediatamente cosa devono fare, prima che una patch diventi disponibile.

    
risposta data 20.12.2014 - 13:20
fonte

Leggi altre domande sui tag

sicurezza nei browser - domande generali [chiuso] Quali meccanismi mantengono i processi di rete (e le applicazioni) in modalità sandbox