On 16/11/21 16:31, Piviul wrote:
A me sembra un fake: se si va nel "national vulnerability database" dice "CVE ID Not Found"[¹]. La descrizione della vulnerabilità[²] dice essere riservata così non si può sapere di cosa si tratta...
quando una vulnerabilità è stata scoperta viene comunicata alla comunità che gestisce la sicurezza sui vari sistemi operativi e componenti. Viene dato un periodo di tempo di X giorni/mesi per permettere a tutti di predisporre patch/workaround che sistemano o mitigano totalmente/parzialmente il problema. In tale periodo di tempo i dettagli non sono resi pubblici per evitare che malintenzionati possano nel frattempo sfruttare la vulnerabilità scoperta per fare attacchi.
Ad esempio è stata scoperta recentemente una vulnerabilità sui sorgenti di quasi tutti i linguaggi di programmazione e, almeno l'ultima volta che avevo letto, non c'erano i dettagli per capire cosa effettivamente fosse e mi sembra che avevano dato 70 giorni a tutti per sistemare il problema prima di rendere totalmente pubblica la vulnerabilità.
Ciao Davide
[¹] https://nvd.nist.gov/vuln/detail/CVE-2021-38503 [²] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-38503
-- Motivi per non comprare/usare ms-windows-vista: http://badvista.fsf.org/ Non autorizzo la memorizzazione del mio indirizzo su outlook
