Un développeur français a découvert une vulnérabilité désagréable pour lui - et agréable pour beaucoup d'autres - chez Huawei
Le développeur qui a découvert le problème l'a signaléHuawei de retour mi-février. Et il l'a fait exactement comme recommandé par l'entreprise - par e-mail crypté, après quoi il a reçu une réponse sous la forme d'une lettre non cryptée contenant le texte de la lettre originale. Le mépris de la sécurité ne s'est pas arrêté là : l'entreprise a demandé de ne pas publier d'informations pendant 5 semaines pour résoudre le problème, mais ne l'a pas résolu en 5 semaines ou trois mois, et a cessé de répondre aux lettres du développeur.
Après cela, le développeur a publié des informations survulnérabilité, cependant incomplète: il n'a pas précisé quelle API renvoie les liens de manière si imprécise, et sa détection est la tâche la plus difficile. Ainsi, sans connaissances particulières, exploiter la vulnérabilité sera assez difficile. Cependant, même une telle semi-publication de la vulnérabilité a eu un effet sur Huawei : dès le lendemain, la société a commencé à distribuer le correctif de mise à jour, promettant de terminer le processus d'ici le 25 mai.
© Ilya Nerybov.
Extrait de https://evowizz.dev/