Sony continua a premiare il developer Cturt con nuovi bounty, almeno stando al suo ultimo tweet pubblicato alcuni giorni fa, mentre non vede l’ora di rilevarne i risultati.
Lo sviluppatore ricorda che sono passati sei mesi dal suo ultimo bounty che lo ha visto premiare con una taglia da 10 mila dollari, allora si trattava di un exploit nel kernel per la console PlayStation 4.
6 months later and I’m still receiving new bounties from PlayStation. Just wanted to say: I’m very happy with my interactions with this team, and I can’t wait to disclose some of the findings! https://t.co/e9KzMTPkmE
— CTurt (@CTurtE) March 11, 2022
Non sappiamo se la vulnerabilità questa volta sia legata alla console PlayStation 4 o PlayStation 5, ne se sia legata ad un servizio come il PlayStation Now, sappiamo solo che si tratta di qualcosa di importante, almeno stando al tweet diramato dal developer Cturt.
Solitamente viene raccomandata una scadenza di 90 giorni per correggere una vulnerabilità prima della sua divulgazione pubblica, con un requisito di sette giorni per i problemi di sicurezza critici ma meno di sette giorni per lo sfruttamento attivo delle vulnerabilità critiche.
Sebbene non esista uno standard di settore formale quando si tratta di segnalare le vulnerabilità, le divulgazioni in genere seguono gli stessi passaggi di base:
- Un ricercatore scopre una vulnerabilità di sicurezza e ne determina l’impatto potenziale. Il cercatore quindi documenta la posizione della vulnerabilità tramite frammenti di codice o schermate.
- Il ricercatore sviluppa un rapporto di consulenza sulla vulnerabilità che descrive in dettaglio la vulnerabilità e include prove a supporto e una sequenza temporale di divulgazione completa. Il ricercatore invia quindi in modo sicuro questo rapporto al fornitore.
- Il ricercatore di solito concede al fornitore un periodo ragionevole per indagare e correggere la vulnerabilità in base alla sequenza temporale di divulgazione completa dell’avviso.
- Una volta che una patch è disponibile o la sequenza temporale per la divulgazione – ed eventuali estensioni – è scaduta, il ricercatore pubblica un’analisi della vulnerabilità della divulgazione completa dell’exploit, inclusa una spiegazione dettagliata della vulnerabilità, del suo impatto e della risoluzione.
Fonte: twitter.com