نحوه اطلاع رسانی در مورد یک حفره امنیتی [بایگانی]

Tarrah

سه شنبه 24 مهر 1386, 06:56 صبح

mehdi.mousavi

سه شنبه 24 مهر 1386, 08:43 صبح

سلام
من تو یکی از کدهای شرکت ماکروسافت یه مشکلی پیدا کردم که خیلی ها می تونن ازش سو استفاده کنن.
به نظرتون این مشکل رو چطوری اعلام کنم؟به خود مایکروسافت ایمیل بزنم یا مثلا مقاله اش کنم و به IEEE و ... بفرستم؟
پیشاپیش از راهنمائیتون ممنون

سلام.
آدرس ایمیل مایکروسافت برای این منظور، secure@microsoft.com هستش، اما تنها باید در صورتی این کار رو کنید که فکر می کنید مطلبی که پیدا کردید دارای شرایط یک حفره امنیتی (https://www.microsoft.com/technet/archive/community/columns/security/essays/vulnrbl.mspx?mfr=true) باشه و بواسطه 10 قانون تغییر ناپذیر امنیتی (https://www.microsoft.com/technet/archive/community/columns/security/essays/10imlaws.mspx) رفع نخواهد شد.

پیامتون رو باید توسط PGP رمز گذاری کنید و مطالب زیر رو در متن پیامتون بگنجونید:

Type of issue (buffer overflow, SQL injection, cross-site scripting, etc.)
Product and version that contains the bug
Service packs, security updates, or other updates for the product you have installed
Any special configuration required to reproduce the issue
Step-by-step instructions to reproduce the issue on a fresh install
Proof-of-concept or exploit code
Impact of the issue, including how an attacker could exploit the issue

به این ترتیب اگر دقیق این کارو کرده باشید و مطلبتون صحت داشته باشه، ظرف 24 ساعت با شما تماس گرفته میشه. - منبع (https://www.microsoft.com/technet/security/bulletin/alertus.aspx)