トレンドマイクロ社製パスワードマネージャーの脆弱性 1(JVN#37183636)が対応に半年かかった理由をトレンドマイクロさんが書いてない件について

トレンドマイクロ社製パスワードマネージャーの脆弱性(JVN#37183636)について解説
この解説についての脆弱性

アラート/アドバイザリ:パスワードマネージャーのセキュリティ情報(CVE-2019-19696) | サポート Q&A:トレンドマイクロ

このタイムラインについてちょっと異議がある

2019/06/20(木)
この脆弱性についてリサーチャーよりご指摘を頂きました。
2019/07/10(水)
すぐに対応してもらえるように連絡したものの、反応が遅いので、トレンドマイクロの買収した 脆弱性発見コミュニティ “Zero Day Initiative”に報告する
2019/07/11(木)
ZDI から、レポートは理解できたが、報奨金対象の脆弱性とは言えないが、トレンドマイクロの開発チームに連絡はできると返事が来る。
2019/08/19(月)
トレンドマイクロ様から自社見解として、「(ファイル名をlocalhostに偽装したのを忘れて)証明書は"localhost"のドメインしか信頼しないので脆弱性ではない」と言う見解をもらう
2019/08/20(火)
ファイル名偽装の説明や、スクリーンショットなどを追加して脆弱性であることをさらに説明する指摘をする。
2019/8/30(金)
上記の指摘がトレンドマイクロに届く。
2019/10/3(木)
パスワードインポートツールをマスターパスワードなしで起動できる脆弱性シナリオについて追加で指摘する。(これはもう一つの脆弱性(#49593434)に関連した更なる欠陥)
2019/10/21 (月)
トレンドマイクロ様から(#49593434で)対応すると言う回答をもらう
2020/01/07(火)
脆弱性を修正するWindows版プログラム 5.0.0.1081を公開しました。
2020/01/08(水)
脆弱性を修正するMac版プログラム 5.0.1073を公開しました。
2020/01/16(木)
脆弱性を修正するプログラムアップデートを全ユーザに配信済です。

実際はこんな感じ。脆弱性ではないと間違った判断をするまでの初動に2ヶ月かかってるのがセキュリティ会社としてどうなのかと思ったのだけど、それを書かないのはちょっとね(; ˘ω˘)
脆弱性報告から1か月後に、トレンドマイクロが買収した、脆弱性発見コミュニティにも連絡したんだけど、そっちでも断られたので、同じような判断しかできなくなってるのでは‥?
トレンドマイクロが買収すべきではなかったのだ…と思ってたり…。

おすすめ

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です