在为第三方公司开发的应用平台编写软件时,我在框架代码中发现了一个安全漏洞,该漏洞可能允许非特权代码通过沙盒解决方案中的漏洞执行未经授权的权限提升。
我已将安全问题通知了公司,甚至在不到一周的时间内就针对该问题开发了补丁,但公司仍未发布产品更新以修复此漏洞。
该公司目前已售出超过 4000 万份该产品,并且在数周后仍未修复此漏洞。我应该怎么做才能让人们意识到这个漏洞以及他们可以做些什么来保护自己,而不会给“坏人”工具来攻击平台?我能做些什么来说服公司更快地发布安全更新吗?
对于这种情况,安全行业的最佳实践是什么(注意:我是软件开发人员,而不是 IT 安全专家)?
老实说,有些人在为自己的错误承担责任之前需要一个警钟。
给公司一个固定的时间,比如从今天起一个月发布补丁。如果他们不遵守在Full Disclosure Mailinglist上发布有关漏洞的信息。如果不公开这些信息,那么你就有组织犯罪会发现这个缺陷并利用它来牟利的风险。
(我不想这么说,但你已经向攻击者提供了足够的信息来找到这个漏洞。拥有 4000 万销售额的平台并不多……时间在流逝。)
您可以制定时间表
首先,他们可能正在测试和推出修复程序。在你公开之前,你可能想让他们知道你的时间表,看看他们是否回应。如果他们有这样做的动机,他们可能更愿意交流。
你可以含糊不清
你典型的“黑帽子”并不像他想表现的那样聪明。通常,大部分反安全世界都依赖于现成的概念验证代码来构建他们的漏洞利用。如果他足够聪明,可以从头开始编写漏洞利用,那么他可能会将代码卖给犯罪组织,而不是将其发布在漏洞利用数据库上。这很糟糕,因为真正的坏人有代码,但很好的是你的普通脚本小子没有。
因此,有时安全研究人员会以足够模糊的术语发布漏洞细节,使不熟练的程序员难以构建漏洞,但熟练的程序员很容易发现漏洞。通常这会给你带来几周的时间;最终有人会编写 POC 代码。
你可以去做
有一个相当普遍的观点是,如果你能尽快将它放入白帽安全工具中(例如构建一个 nessus 插件等),那么你将提供最好的整体保护。一旦漏洞被普遍理解,黑帽代码是不可避免的。但至少你可以给防守者一个先机。
除了 Rook 和 tylerl 的出色指导之外,您确定您在公司有正确的联系方式吗?
大型企业在内部传递信息方面可能毫无用处,甚至不知道将信息传递给谁,因此请确保将信息发送给正确的团队。
考虑将其发送给该公司的更广泛的受众——做你的研究;谷歌寻找合适的联系人。这可能包括 CIO 或 CISO,甚至营销总监等。
我开始非常担心信息泄露(我住的地方),因为像我们这样具有公众精神的熟练安全研究人员正在采取越来越多的法律诉讼案件。
选项包括:
我已经停止公开披露;部分原因是苏格兰(我住的地方)的法律将其定为刑事犯罪,