微软因未重视零日漏洞而受到Trend Micro的批评
关键要点
Trend Micro的零日计划团队对微软未能认可其发现的MSHTML零日漏洞表示批评。该漏洞被追踪为CVE202438112,严重性被低估。ZDI称此漏洞应被视为远程代码执行漏洞,而不仅仅是伪装bug。ZDI负责人Dustin Childs指出,相关修复方案缺乏透明度。Trend Micro的零日计划团队最近对微软提出了批评,指责其未能认可团队在发现MSHTML的零日漏洞CVE202438112方面所做的努力,并且低估了该问题的严重性。根据The Register的报道,此漏洞是本月补丁周二修复的一部分。
clash windows下载微软将此漏洞称为高严重性的伪装bug,但ZDI披露这是一个远程代码执行漏洞,应该获得更高的严重性评级。ZDI的威胁意识负责人Dustin Childs表示,CVE202438112于5月中旬报告给微软,仅需要一种深度防御的修复方法,但相关的修复细节却并未得到公开。“供应商希望研究人员能提前与他们协调,但一旦他们获得漏洞,便停止与研究人员的协调,尽管他们在公开场合做过其他承诺,结果研究人员就成了孤立无援的状态,”Childs说。他还提到,其他供应商,包括Ivanti、Phoenix Contact和Autodesk AutoCAD也存在类似的漏洞披露问题。
相关链接 CVE202438112详细信息 Trend Micro零日计划
此事件凸显了在网络安全领域中,供应商与安全研究人员之间的沟通和合作至关重要。只有通过积极有效的协调,才能及时有效地修复漏洞,保护用户安全。
