[[日期上一篇] [下一个日期] [线程] [线程接下来] [日期索引] [线程索引这是给予的
回复:隐藏的Microsoft CVE,没有答案
- 到:“棺材,克里斯” <ccoffin@mitre.org>,Carsten Eiram <che@riskbasedsecurity.com>,西蒙教皇<simon.pope@microsoft.com>
- 主题:re:隐藏的Microsoft CVE,没有答案
- 从:伊丽莎白·斯科特<bethsco@microsoft.com>
- 日期:2017年3月27日星期一20:45:26 +0000
- 接受语言:en-us
- 身份验证重分:spf = none(发件人IP是129.83.29.3)smtp.mailfrom = lists.mitre.org;mitre.mail.onmicrosoft.com;dkim = none(未签署消息)header.d = none; mitre.mail.onmicrosoft.com;dmarc = fail Action = Oreject header.from = microsoft.com;
- CC:cve-editorial-board-list <cve-editorial-board-list@lists.mitre.org>
- 交货日期:MOR 27 17:27:26 2017
- 陷入困境:<MWHPR09MB1485143CB18058713C2AE6B7A1330@MWHPR09MB1485.NAMPRD09.PROD.outlook.com>
- 列表助手:<mailto:listserv@lists.mitre.org?body = info%20cve-editorial-board列表>
- 列表所有者:<mailto:cve-editorial-board-list-request@lists.mitre.org>
- 列表订阅:<mailto:cve-editorial-board-list-subscribe-request-request@lists.mitre.org>
- list-unsubscribe:<mailto:cve-editorial-board-list-unsubscribe-request@lists.mitre.org>
- msip_labels:MSIP_LABEL_F42AA342-8706-4288-BD11-EBB85995028C_ENABLED = true;MSIP_LABEL_F42AA342-8706-4288-BD11-EBB859959595028C_SITEID = 72F988BF-86F1-41AF-91AF-91AB-2D7CD011DB47;MSIP_LABEL_F42AA342-8706-4288-BD11-EBB85995028C_REF = https://api.informationprotection.azure.azure.com/api/72f9888bf-86bf-86f1-86f1-41-41af-91ab-91ab-2d7cd011db47;MSIP_LABEL_F42AA342-8706-4288-BD11-EBB85995028C_SETBY =bethsco@microsoft.com;MSIP_LABEL_F42AA342-8706-4288-BD11-EBB85995028C_SETDATE = 2017-03-27T13:45:28.7668822-07:00:28.7668822-07:00;MSIP_LABEL_F42AA342-8706-4288-BD11-EBB85995028C_NAME =常规;MSIP_LABEL_F42AA342-8706-4288-BD11-EBB8599595028C_APPLICATION = Microsoft Azure信息保护;MSIP_LABEL_F42AA342-8706-4288-BD11-EBB85995028C_EXTEDDEND_MSFT_METHOD = automatic;灵敏度=一般
- 参考:
<<<<<<<<<<<MWHPR09MB1485143CB18058713C2AE6B7A1330@MWHPR09MB1485.NAMPRD09.PROD.outlook.com> - 发件人:<所有者cve-editorial-board-list@lists.mitre.org>
- spamdiagnosticmetadata:6CDB8BFC89744BD8BFEE511E3E65AA05
- spamdiagnosticOutput:1:2
- 线程索引:aqhspt5yur0tkgo11euplxbfk1t4vago38sagabls8a =
- 线主题:隐藏的Microsoft CVE,没有答案
|
对不起,延迟添加西蒙教皇 从:所有者 - cve-editorial-board-list@lists.mitre.org [mailto:lands-cve-editorial-board-list@lists.mitre.org]代表棺材,克里斯
卡斯滕,
感谢您的调查和有关这些问题的领导。我们还将直接与Microsoft CNA联系人进行核对,并查看我们可以找到的内容。
问候,
克里斯·科芬 CVE团队
从:所有者cve-editorial-board-list@lists.mitre.org[[mailto:所有者cve-editorial-board-list@lists.mitre.org这是给予的代表Carsten Eiram
上周,我注意到Microsoft在Chakracore用CVE修复了三个漏洞。这是脉轮的一部分;Microsoft Edge中使用的脚本引擎。
这些是提交:
我注意到,即使MS17-007解决了Microsoft Edge漏洞,也没有在最近的Microsoft Security公告中提及三个CVE。
我与MSRC联系以进行澄清,以确定它们是否不会影响MS Edge,Microsoft是否忘记修补MS Edge,或者只是忘记将三个CVE添加到其安全公告中。
现在已经有6个工作日了,我仍然没有收到答案。从历史上看,微软否则一直擅长迅速回应此类请求。
如果Microsoft忘记将这些CVE添加到MS17-007中,那将是快速更新公告的简单问题。如果他们忘记将修复程序包括在MS Edge中,那么他们显然有一个更大的问题(也许这就是他们的无线电沉默的原因)。
如果这些问题不影响MS Edge,则Microsoft似乎不应该分配CVE,除非他们告知作业。显然,半隐藏它们在提交中是有问题的,因为它们不会被覆盖。例子:它们仍然是“保留的”。
无论哪种方式,关于Microsoft首先“隐藏”提交消息中的三个CVE,接下来甚至在询问作业时都无法及时响应CVE董事会成员。
考虑到Microsoft不仅是CNA,而且在该板上也代表了Microsoft,似乎他们需要努力改善其内部流程。
如果微软可以为此提供一些启示,我将不胜感激。
/Carsten |
- 参考:
- 隐藏的Microsoft CVE,没有答案
- 从:carsten eiram
- 从:carsten eiram
- 回复:隐藏的Microsoft CVE,没有答案
- 从:“棺材,克里斯”
- 从:“棺材,克里斯”
- 隐藏的Microsoft CVE,没有答案
- 上一条日期:回复:隐藏的Microsoft CVE,没有答案
- 下一个日期:回复:CVE-CNA JSON格式提案
- 上一个线程:回复:隐藏的Microsoft CVE,没有答案
- 下一个线程:CVE/CNA覆盖范围
- 索引:
