再保险:说到硬件cf

>这个及时的文章>:>https://www.cylance.com/en_us/blog/uefi-ransomware-full-disclosure-at-> black-hat-asia。> html似乎有些UEFI实现缺乏基本的安全检查/最佳实践,我认为没有苏>这些事情应该CVE值得在现代世界。据我们所知,漏洞被报道在固件和这将是被CVE覆盖。硬件漏洞的一个例子是如果多发性骨髓瘤和SPI闪存写保护被绕过。咨询意味着他们可以绕过英特尔的新加坡交易所,这可能是一个硬件漏洞。我们与新加坡交易所肯定不够熟悉。一种选择可能是查询英特尔CNA寻求帮助。> CVE在很大程度上说,他们将不会创建的默认凭据,>即使这意味着完整的管理访问>应用程序/设备/ OS斜方认为默认凭证是CVE-worthy漏洞。事实上,它被列为漏洞的一个例子是在术语页面上我们的网站(https://cve.mitre.org/about/terminology.html)。CVE团队- - - - - - - - - - -从原始信息:owner-cve-editorial-board-list@lists.mitre.org [mailto: owner-cve-editorial-board-list@lists.mitre.org马尼恩的艺术代表发送:周一,3月13日,2017年36点:Kurt Seifried < kseifried@redhat.com >;cve-editorial-board-list < cve-editorial-board-list@lists.mitre.org >主题:Re:说到硬件cf 3/10/17 10:06点,Kurt Seifried写道:>及时的这篇文章是>:>https://www.cylance.com/en_us/blog/uefi-ransomware-full-disclosure-at-> black-hat-asia。> html似乎有些UEFI实现缺乏基本的安全检查/最佳实践,我认为没有苏>这些事情应该CVE值得在现代世界。我没有仔细阅读Cylance页面,但已经有问题的BIOS / UEFI漏洞,我会认为是* *和CVE-worthy软件。BIOS软件。在3/12/17 11:59,耶利哥写道:> CVE很大程度上说,他们将不会创建的默认凭据,>即使这意味着完整的管理访问>应用程序/设备/ OS > [1]。如果不是CVE-worthy,那么“失踪其他最佳实践”>看上去不像会资格。进入“缺乏基本的安全”的讨论,我认为“不安全的默认配置”应该保证CVE在某些情况下(开放acl鱿鱼很久以前,也许今天mongoDB和memcached,是的,违约/共享/硬编码的凭证时,供应商提前知道很好,事情将在互联网上)。漏洞也惊喜/预期和交互(改变)环境;漏洞不是纯技术。我知道,一个工程意义上的不满意,和改变的定义“脆弱让CVE ID”使语料库混乱。 Classification is messy, the world (and thinking about the world) changes, Pluto is a planet, Apatosaurus is not Brontosaurus. - Art