English

SE-2011-01 Komunikacja z producentami

Ta strona prezentuje informacje dot. przebiegu komunikacji z producentami sprzętu i oprogramowania w których produktach Security Explorations wykryło błędy bezpieczeństwa.

Producenci nie odpowiadający na nasze zapytania mailowe przez 7+ dni:

  • Advanced Digital Broadcast
    oczekiwanie na odpowiedź do wiadomości z dnia 11-Sty-2012, ostatni kontakt z firmą w dniu 07-Sty-2012
  • ITI Neovision
    oczekiwanie na odpowiedź do wiadomości z dnia 01-Lut-2012, ostatni kontakt z firmą w dniu 18-Sty-2012

Podsumowanie procesu komunikacji:

  • 02-Sty-2012
- Zapytania o kontakty do zespołów bezpieczeństwa zostają wysłane do Onet.pl S.A, Advanced Digital Broadcast, STMicroelectronics, ITI Neovision, Conax AS, DreamLab Onet.pl S.A.
- Informacje kontaktowe otrzymano od Onet.pl S.A. oraz DreamLab Onet.pl S.A.
  • 03-Sty-2012
- Raporty bezpieczeństwa zawierające informacje o błędach zostają wysłane do Onet.pl S.A (błędy 1-4) oraz DreamLab Onet.pl S.A. (błąd 24).
- Informacje kontaktowe otrzymano od ITI Neovision - oczekujemy na odpowiedź i klucz PGP.
  • 04-Sty-2012
- W rezultacie braku odpowiedzi na zapytanie o kontakty do zespołów bezpieczeństwa z 2 stycznia, zostaje ono ponownie wysłane do Advanced Digital Broadcast, STMicroelectronics oraz Conax AS.
- Prośba o potwierdzenie poprawnego odszyfrowania otrzymanych raportów wysłana jest do Onet.pl S.A. / DreamLab Onet.pl S.A.
- Onet.pl S.A. / DreamLab Onet.pl S.A. potwierdza poprawne odszyfrowanie otrzymanych raportów.
- Otrzymano odpowiedź od firmy Advanced Digital Broadcast.
- Informacje kontaktowe otrzymano od Conax AS, do którego zostają wysłane raporty bezpieczeństwa zawierające informacje o błędach (błędy 22-23).
- Conax AS potwierdza poprawne odszyfrowanie otrzymanych raportów.
- Otrzymano klucz PGP od ITI Neovision do którego zostają wysłane raporty bezpieczeństwa zawierające informacje o błędach (błędy 20-21).
- ITI Neovision potwierdza poprawne odszyfrowanie otrzymanych raportów.
- Informacje kontaktowe otrzymano od STMicroelectronics, do którego zostają wysłane raporty bezpieczeństwa zawierające informacje o błędach (błędy 17-19).
- Informacje kontaktowe otrzymano od Advanced Digital Broadcast, do którego zostają wysłane raporty bezpieczeństwa zawierające informacje o błędach (błędy 5-16).
  • 05-Sty-2012
- Prośby o potwierdzenie poprawnego odszyfrowania otrzymanych raportów wysłane zostają do Advanced Digital Broadcast i STMicroelectronics.
  • 06-Sty-2012
- STMicroelectronics potwierdza poprawne odszyfrowanie otrzymanych raportów.
  • 07-Sty-2012
- Advanced Digital Broadcast potwierdza poprawne odszyfrowanie otrzymanych raportów.
  • 11-Sty-2012
- Zapytania dot. skali podatności produktów na zgłoszone błędy zostają wysłane do Advanced Digital Broadcast i STMicroelectronics.
  • 12-Sty-2012
- Zapytanie dot. statusu prac nad poprawkami do zgłoszonych błędów wysłane jest do Onet.pl S.A. / DreamLab Onet.pl S.A.
  • 17-Jan-2012
- STMicroelectronics informuje nas, że żadne poufne informacje nie zostaną ujawnione Security Explorations w nawiązaniu do zapytania dot. skali podatności produktów na zgłoszone błędy (pytanie o listę podatnych modeli układów DVB i ich wersji, pytania o producentów urządzeń set-top-box i dostawców telewizji satelitarnej wykorzystujących podatne układy, itp.). STMicroelectronics informuje również, że nadal analizuje otrzymane raporty.
  • 23-Jan-2012
- Security Explorations wysyła zapytanie do STMicroelectronics w celu ustalenia, czy lista produktów firmy podatna na błędy bezpieczeństwa jest również traktowana jako informacja poufna.
  • 01-Lut-2012
- Zapytania dot. statusu prac / wyników analizy otrzymanej informacji wysłane jest do Onet.pl S.A, Advanced Digital Broadcast, ITI Neovision, Conax AS, DreamLab Onet.pl S.A.
- Onet.pl S.A / DreamLab Onet.pl S.A. potwierdzają poprawienie zgłoszonych błędów bezpieczeństwa (błędy 1-4 oraz 24).
  • 03-Lut-2012
- Conax AS przesyła wyniki analizy otrzymanych raportów. Firma informuje Security Explorations, że nie uznaje błedów 22 i 23 jako błędów bezpieczeństwa. Błąd 22 jest uznany jako spowodowany cechą konfiguracyjną systemu Conax CAS.
- Security Explorations odpowiada firmie Conax AS i wyrażą brak zgody z otrzymanymi wynikami analizy. Security Explorations przedstawia swoje rozumowanie i pyta Conax AS, czy firma nadal traktuje błędy 22 i 23 jako niezwiązane z bezpieczeństwem. Security Explorations dopytuje się również o naturę błędu 22.
  • 22-Lut-2012
- Conax AS przesyła dodatkowe informacje dot. błędu 22. Firma informuje, że w oparciu o dodatkowe dane i analizę, błąd 22 jest rozumiany jako niespowodowany przez wskazaną wcześniej cechę konfiguracyjną systemu Conax CAS, lecz jest wynikiem uruchomienia podatnego serwisu w sposób specyficzny dla starszej generacji systemów Conax.
  • 16-Mar-2012
- STMicroelectronics informuje, że jego zespoły kończą analizę materiału i szczegółów dostarczonych przez Security Explorations. Firma prosi o potwierdzenie jednego detalu przeprowadzonego ataku.
- Security Eplorations potwierdza detal przeprowadzonego ataku będący przedmiotem zapytania STMicroelectronics.
  • 22-Mar-2012
- STMicroelectronics prosi o potwierdzenie jednego detalu przeprowadzonego ataku w nawiązaniu do błędu 18.
- Security Explorations odpowiada, że nie może udzielić stosownego potwierdzenia i udziela odpowiedzi w oparciu o przeprowadzoną analizę i testy.
  • 23-Mar-2012
- Security Explorations przesyła STMicroelectronics dodatkowe informacje / rezultaty przeprowadzonych testów w odniesieniu do błędu 18.
  • 11-Kwi-2017
- Security Explorations pyta STMicroelectronics czy po 5 latach od ujawnienia słabości oraz w kontekście wycofania się firmy z produkcji procesorów dla dekoderów telewizyjnych, STMicroelectronics jest gotowe do dostarczenia listy procesorów, które były podatne na błędy odkryte i zgłoszone w ramach projektu SE-2011-01.

Copyright 2008-2017 Security Explorations. All Rights Reserved.