-
-
[讨论]IBM被怼?只要你不公布漏洞我绝对不修复
-
发表于: 2020-4-23 11:10
-
一般来说,研究人员发现漏洞后向开发商提交报告,待开发商修复漏洞后一段时间,留给用户足够的时间安装更新补丁,之后才会披露漏洞细节以防被攻击者恶意利用。
然而有些开发商轻视漏洞,例如此前西部数据就不理睬研究人员的报告。
即使是市值数十亿美元的公司IBM同样存在这个问题,近日有研究人员在GitHub上直接公布4个0day漏洞细节。
研究人员表示他并没有期望得到赏金,只是以负责任的方式向IBM披露漏洞。
但IBM拒绝接受漏洞报告。
因此他在GitHub怒怼并公布漏洞细节:
GitHub地址如下,有想要研究的小伙伴可自行查看。
https://github.com/pedrib/PoC/blob/master/advisories/IBM/ibm_drm/ibm_drm_rce.md
此事一出,IBM随后发布道歉声明并表示漏洞处理流程有错误导致对研究人员回应不当,目前正在开发相关漏洞修复程序。
你有过提交漏洞但被开发商拒绝的经历吗?
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
|
|
|---|---|
