We are proud to share a NTFS #0day in MFT parsing! You too, plug a USB key and BSOD (probably not exploitable by plug&pwn)! Microsoft WONTFIX
[EN] https://t.co/lSSeQcXZoV
[FR] https://t.co/nq7LpHldXI— ExaTrack (@ExaTrack) October 22, 2019
- 567 megtekintés
Hozzászólások
ez nem 0day, ez egy bug. :(
- A hozzászóláshoz be kell jelentkezni
Az 0day != sebezhetőséggel. Az 0day azt jelenti, hogy az információ a hivatalos javítás előtt látott napvilágot. Mivel itt hivatalos javítás nem lesz (WONTFIX), ez egy 0day.
Amire te célzol az az 0day vulnerability.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Értem az érvelésed, de a szerintem senki sem használja így a 0day kifejezést.
Ezután az összes WONTFIX issue-t 0day-nek hívjuk?
(nem ellened érvelek, te csak másoltad, az eredeti forrás szóhasználata/szenzációhajhászata miatt morgok)
- A hozzászóláshoz be kell jelentkezni
Szerintem ezek olyan dolgok, amiket el kell engedni. A security iparág mindig is tele volt magamutogatókkal, túlzásra hajlamos emberekkel és cégekkel. A lényeg itt: van egy hiba, ami megérne egy javítást, de nem lesz javítva.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
"Az 0day azt jelenti, hogy az információ a hivatalos javítás előtt látott napvilágot."
Akkor minden publikus bug, függetlenül annak súlyosságától és kihasználhatóságától 0day?
- A hozzászóláshoz be kell jelentkezni
Aminek a részleteit nyilvánosságra hozták a javítás előtt. Tipikusan nem 0day: embargó (pl. Google P0 90-day-deadline hozzáállása) alá eső bugok, amikor bejelentik, hogy van egy bug/sebezhetőség, értesítik a gyártót, hogy tudja javítani, de a javításig a bug/sebezhetőség részleteket visszatartják.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni