再保险:隐藏微软cf,没有答案

Carsten,

谢谢你的调查和足智多谋的关于这些问题。我们与微软还将检查CNA直接接触,看看我们能找到什么。

问候,

克里斯棺材

CVE团队

来自:owner-cve-editorial-board-list@lists.mitre.org [mailto: owner-cve-editorial-board-list@lists.mitre.org]代表Carsten Eiram
发送:周六,2017年3月25日2:44点
:cve-editorial-board-list < cve-editorial-board-list@lists.mitre.org >
主题:隐藏的微软cf和没有答案

上周我注意到微软固定三个漏洞ChakraCore cf。这是脉轮的一部分;微软使用的脚本引擎的优势。

以下是提交:

https://github.com/Microsoft/ChakraCore/commit/9da019424601325a6e95e6be0fa03d7d21d0b517

https://github.com/Microsoft/ChakraCore/commit/402f3d967c0a905ec5b9ca9c240783d3f2c15724

https://github.com/Microsoft/ChakraCore/commit/065b7978c40ded35c356ced6cd922a40156c9c46

我注意到这三个cf没有任何最近的微软安全公告中提到即使ms17 - 007解决微软漏洞。

我伸出MSRC澄清来确定这些不影响边缘女士,女士如果微软忘了补丁,或者只是忘了三个cf添加到他们的安全公告。

它已经6个工作日,我还没有收到一个答案。历史上,微软原本擅长快速响应这些请求。

如果微软忘了添加这些cf ms17 - 007,这将是一个简单的快速更新公告。如果他们忘了包括修复边缘女士,他们显然有一个更大的问题(也许这就是他们沉默的原因)。

如果这些问题不影响边缘女士,似乎cf不应由微软,除非他们对作业通知。Semi-hiding他们提交显然是有问题的,因为他们不会被覆盖。例子:他们都还“保留”。

无论哪种方式,这是关于微软第一次“隐藏”三个cf内提交下甚至不能回复消息和CVE董事会成员及时询问作业。

考虑微软不仅是一个中央社,但也代表了黑板上,似乎他们需要提高他们的内部流程。

我会感激如果微软能阐明这个问题。

/ Carsten