回复：谈到硬件CVE

在17年3月10日10:06 PM，Kurt Seifried写道：>这篇及时的文章> OUT：>https://www.cylance.com/en_us/blog/uefi-ransomware-full-disclosure-ant-black-hat-asia.html>似乎有些UEFI实施缺乏基本的安全性>检查/最佳实践，我认为未能起诉这些事情>>应该在现代世界中值得CVE。我没有仔细阅读calance页面，但是BIOS/UEFI漏洞存在问题，我认为是 *软件 *和CVE值得的。BIOS是软件。杰里科（Jericho）在3/12/17 11:59 PM写道：> CVE在很大程度上表示，他们不会为默认凭据创建，>偶数>偶尔>当它意味着完全对应用程序/设备/OS> [1]的完整管理访问权限时。如果>不是值得CVE的话，那么“缺少其他最佳实践”>似乎也不会有资格。进入“缺乏基本安全性”的讨论，我会说“不安全的默认配置”在某些情况下应保证CVE（很久以前，squid上的ACL在squid上打开，也许是蒙古多德（Mongodb）和纪念活动，是的，是的，默认/共享/共享//当供应商提前知道这东西会在互联网上非常了解时，硬编码的凭据。脆弱性也是关于惊喜/期望和与（变化）环境的互动；漏洞并非纯粹是技术性的。我知道，在工程意义上不满意，并更改“获得CVE ID的脆弱性”的定义使语料库变得混乱。分类是凌乱的，世界（以及关于世界的思考）变化，冥王星是行星，阿帕托龙不是勃褐色。 - Art