Критика Microsoft публичного раскрытия уязвимостей
Компания Microsoft выступила за Координированное раскрытие уязвимостей (CVD), призывая исследователей делиться своими находками и давать затронутым вендорам возможность лучше понять влияние и устранить проблемы до их публичного раскрытия. Это заявление было сделано после того, как исследователь Chaotic Eclipse раскрыл информацию о нескольких уязвимостях нулевого дня.
Подробности
Исследователь Chaotic Eclipse (также известный как Nightmare-Eclipse) раскрыл информацию о нескольких уязвимостях нулевого дня, которая потенциально могла быть использована для эксплуатации уязвимостей RCE в некоторых продуктах. Эти уязвимости еще не получили идентификаторы CVE, и Microsoft призывает исследователей следовать принципам CVD для минимизации потенциального вреда.Что делать
Рекомендуется, чтобы исследователи и пользователи проявляли осторожность при работе с неутвержденными уязвимостями и сообщали о них вендорам через установленные каналы. Кроме того, обеспечение актуальности обновлений безопасности, использования VPN, реализации MFA и шифрования TLS могут помочь снизить риски, связанные с уязвимостями. Также важно отслеживать изменения в API и конфигурациях систем для быстрого реагирования на потенциальные угрозы. В итоге, позиция Microsoft относительно публичного раскрытия уязвимостей подчеркивает необходимость ответственного подхода к безопасности и подчеркивает важность сотрудничества между исследователями и вендорами для защиты пользовательских данных.Источник: The Hacker News
