漏洞披露流程是否出现了问题？CISO为何被蒙在鼓里？

文章预览

在七月的“补丁星期二”安全更新中，微软针对其专有的Internet Explorer浏览器引擎Trident，修复了一个名为CVE-2024-38112的零日漏洞，该漏洞的CVSS评分为7.5。 微软将此漏洞描述为欺骗性漏洞，而趋势科技的零日漏洞利用计划（ZDI）团队，作为发现该漏洞的功臣，则将其定义为远程执行漏洞，并认为其应获得更高的严重性评级。 ZDI的威胁感知主管Dustin Childs对此表示：“微软以为我们报告的只是一个深度防御的修复措施，因此他们并未透露具体是哪种深度防御措施。” 然而，这场关于漏洞性质的争议并未就此平息。微软将发现并报告此漏洞的荣誉归于另一位安全研究员Haifei Li，而非ZDI团队。 Childs表示，ZDI团队在五月中旬就已向微软报告了该漏洞，并对微软“在七月而非预期的八月发布补丁”感到意外，甚至就连Haifei Li本人也对这一突然的发布感到措手 ………………………………