マイクロソフト: お客様をゼロデイにしたくありません from darkreading.com
security summary
ブラック ハット USA – ラスベガス — マイクロソフトのセキュリティ担当幹部は本日、脆弱性開示ポリシーについて、セキュリティ チームが情報に基づいたパッチ適用の決定を行う際に十分な情報を提供していると弁護し、悪用のためにパッチを迅速にリバース エンジニアリングしようとする脅威アクターからの攻撃の危険にさらされることはありませんでした。
Microsoft の CVE は、バグの重大度と悪用される可能性 (および実際に悪用されているかどうか) に関する情報を提供しますが、同社は脆弱性悪用情報をどのように公開するかについて慎重に検討します。
ほとんどの脆弱性について、Microsoft の現在のアプローチは、脆弱性とその悪用可能性に関する詳細を CVE に記入する前に、パッチの開示から 30 日間のウィンドウを与えることです、と Gupta は言います。
CVE で、脆弱性が悪用される方法のすべての詳細を提供した場合、顧客をゼロデイ攻撃することになります、と Gupta 氏は言います。
Gupta 氏は、脆弱性に対して CVE を発行するかどうかに関する Microsoft の決定は、MITRE の CVE プログラムのポリシーと一致していると述べています。
彼女は、Microsoft がクラウドの脆弱性が顧客に影響を与える可能性がある状況をどのように処理するかの例として、Azure の Open Management Infrastructure (OMI) コンポーネントの 4 つの重大な脆弱性に関する Wiz による昨年の開示を指摘しています。
コメント