Општо земено, ова подразбира процес кон било кој производител кога ќе пронајдете некоја слабост во некој продукт. Зависно од вас дали сакате воопшто да ги пријавите пронајдените слабости и нивно објавување во јавност или пак ќе си молчите за истите, е ваш избор.
Процесот на пријавување, како што напоменав погоре, започна на 10 август, веднаш по пронајдените слабости.
Значи прво што се случува кога пријавувате ранливости, контактирате со производителот на софтверот (или по e-mail или доколку производителот на својот веб сајт има форма за пополнување баш за вакви сценарија). Во овој случај, Adobe располага со форма за поплнување со неколку прашања и описи на пронајдените слабости во нивните софтвери. Ја посетувам страната: http://www.adobe.com/misc/securityform.html и ги пополнувам бараните информации.
Веднаш по завршувањето на пополнување на формата и испраќањето на бараните информации, Венди Поланд (Wendy Poland), одговорна за вакви инциденти во Adobe или поточно PSIRT, во рок од 2-3 часа, одговара на мојот e-mail, заблагодарувајќи на воспоставениот контакт со нив и пратените информации, како и додавање на ID за секоја од трите слабости (Пр. Adobe ID 285, Adobe ID 286, Adobe ID 287), притоа барајќи доказ на концепт (PoC Files). Веднаш по тоа, им ги праќам фајловите (грубо програмирани експлоатациски кодови – poc) што ги уклучуваат слабостите. По неколку часа, добивам одговор кој ме информира дека ги разгледуваат пријавените ранливости и во меѓувреме дека ја цени мојата дискреција, односно да не ги објавувам моите пронајдоци во јавност додека случаите не се разрешат од нивна страна и не направат закрпа за нивните корисници.
Потоа, им праќам e-mail и барам потврдување за пронајдените слабости, односно потврда дека пријавените слабости се навистина сигурносни слабости а не проблеми со стабилноста.
И секако, Венди одговара дека сите три ранливости се потврдени и повторно заблагодарува за дискрецијата. Во истиот e-mail, ме известува дека закрпата (patch) ќе биде достапна приближно за неколку месеци (си треба трпение ;)). Еве тоа како изгледа:
Hello Gjoko,
Thank you for following up with us.
All three issues you reported to us have been verified.
We will be in touch as soon as a release schedule is available; we do not expect confirmation of that schedule for another couple of months.
We appreciate your help in not publicly disclosing these issues, until we can properly release a fix.
Please let us know if you have any questions.
We appreciate your help and discretion!
Thank you,
Wendy
Adobe Product Security Incident Response Team
И тоа е тоа, си продолжувате со животот, си работите нешто друго, до следен e-mail од adobe и координирано објавување на сигурносно предупредување (security advisory). Крај на приказната се сведува на креирање на закрпа од страна на Adobe, заедничко објавување на предупредувањето и едно фала за соработката. Сигурносните предупредувања на Adobe можете да ги погледнете на следната страна: http://www.adobe.com/support/security/ или на PSIRT блогот: http://blogs.adobe.com/psirt/. Процесот на соработка со PSIRT тимот и пријавување на вакви инциденти или слабости можете да го прочитате: http://blogs.adobe.com/asset/2009/01/adobe_psirt_process_1.html.
По сликава, се наоѓаме кај точката 5 во исчекување на точката 6 ;).
Поврзани линкови:
– http://www.adobe.com
– http://blogs.adobe.com/asset/
– http://blogs.adobe.com/psirt/
– http://www.adobe.com/support/security/
– http://www.adobe.com/misc/securityform.html
Стани премиум член и доби пристап до сите содржини, специјален попуст на над 2.200 производи во ИТ маркет, верификуван профил и можност за огласување на ИТ Огласник. Плус ќе го поддржиш медиумот кој го градиме цели 16 години!
Доколку веќе имаш премиум членство, најави се тука.
