隐藏的Microsoft CVE，没有答案

到：cve-editorial-board-list <cve-editorial-board-list@lists.mitre.org>
主题：隐藏的Microsoft CVE，没有答案
从：Carsten Eiram <che@riskbasedsecurity.com>
日期：星期六，2017年3月25日08:44:19 +0100
身份验证重分：spf = none（发件人IP是129.83.29.3）smtp.mailfrom = lists.mitre.org;mitre.mail.onmicrosoft.com;dkim = none（未签署消息）header.d = none; mitre.mail.onmicrosoft.com;dmarc = none action = none header.from = riskbasedSecurity.com;
交货日期：MOR 27 07:53:31 2017
列表助手：<mailto：listserv@lists.mitre.org？body = info％20cve-editorial-board列表>
列表所有者：<mailto：cve-editorial-board-list-request@lists.mitre.org>
列表订阅：<mailto：cve-editorial-board-list-subscribe-request-request@lists.mitre.org>
list-unsubscribe：<mailto：cve-editorial-board-list-unsubscribe-request@lists.mitre.org>
发件人：<所有者cve-editorial-board-list@lists.mitre.org>
spamdiagnosticmetadata：6CDB8BFC89744BD8BFEE511E3E65AA05
spamdiagnosticOutput：1：2

上周，我注意到Microsoft在Chakracore用CVE修复了三个漏洞。这是脉轮的一部分；Microsoft Edge中使用的脚本引擎。

这些是提交：

我注意到，即使MS17-007解决了Microsoft Edge漏洞，也没有在最近的Microsoft Security公告中提及三个CVE。

我与MSRC联系以进行澄清，以确定它们是否不会影响MS Edge，Microsoft是否忘记修补MS Edge，或者只是忘记将三个CVE添加到其安全公告中。

现在已经有6个工作日了，我仍然没有收到答案。从历史上看，微软否则一直擅长迅速回应此类请求。

如果Microsoft忘记将这些CVE添加到MS17-007中，那将是快速更新公告的简单问题。如果他们忘记将修复程序包括在MS Edge中，那么他们显然有一个更大的问题（也许这就是他们的无线电沉默的原因）。

如果这些问题不影响MS Edge，则Microsoft似乎不应该分配CVE，除非他们告知作业。显然，半隐藏它们在提交中是有问题的，因为它们不会被覆盖。例子：它们仍然是“保留的”。

无论哪种方式，关于Microsoft首先“隐藏”提交消息中的三个CVE，接下来甚至在询问作业时都无法及时响应CVE董事会成员。

考虑到Microsoft不仅是CNA，而且在该板上也代表了Microsoft，似乎他们需要努力改善其内部流程。

如果微软可以为此提供一些启示，我将不胜感激。

/Carsten

后续行动：
- 回复：隐藏的Microsoft CVE，没有答案
  - 从：jericho
- 回复：隐藏的Microsoft CVE，没有答案
  - 从：“棺材，克里斯”