Un dezvoltator din Franța a descoperit o vulnerabilitate neplăcută pentru el – și plăcută pentru mulți alții – în Huawei
Dezvoltatorul care a descoperit problema a raportat-oHuawei la mijlocul lunii februarie. Și a făcut-o exact așa cum a recomandat companiei - prin e-mail criptat, după care a primit un răspuns sub forma unei scrisori necriptate care conținea textul scrisorii originale. Nerespectarea securității nu s-a oprit aici: compania a cerut să nu publice informații timp de 5 săptămâni pentru a remedia problema, dar nu a remediat-o în 5 săptămâni sau trei luni și a încetat să răspundă la scrisorile dezvoltatorului.
După aceea, dezvoltatorul a publicat informații desprevulnerabilitate, oricât de incompletă: el nu a specificat care API returnează link-uri atât de inexacte, iar detectarea acesteia este cea mai dificilă sarcină. Astfel, fără cunoștințe speciale, exploatarea vulnerabilității va fi destul de dificilă. Cu toate acestea, chiar și o astfel de semipublicare a vulnerabilității a avut un efect asupra Huawei: chiar a doua zi, compania a început să distribuie patch-ul de actualizare, promițând că va finaliza procesul până pe 25 mai.
© Ilia Nerybov.
Sursă de la https://evowizz.dev/