Assiste.com
|
16.09.2023 : Pierre Pinard.
Dossier (collection) : Encyclopédie |
---|
Introduction Liste Malwarebytes et Kaspersky ou Emsisoft (incluant Bitdefender) |
Sommaire (montrer / masquer) |
---|
Un CVE (Common Vulnerabilities and Exposures) est un document consignant la découverte d'une vulnérabilité ou d'une faille de sécurité informatique et la décrivant en termes de causes et, si elle a été exploitée malicieusement, en termes d'effets.
Chaque document CVE est référencé et est stocké dans une base de données mondiale des CVE.
Un CVE est un document qui :
Annonce |
Cet horodatage sert de preuve avec différents objectifs :
La partie descriptive détaillée et les POC du « CVE » ne seront rendues publiques (partiellement) que lorsque la faille aura été corrigée.
Annonce |
Le numéro d'enregistrement d'un CVE répond strictement à une syntaxe formelle :
CVE-AAAA-NNNN
On remarquera qu'il n'était donc pas prévu plus de 9999 CVE (9999 failles de sécurité) par an. Le format est donc changé en 2018 :
CVE-AAAA-NNNNN
Un ensemble d'organisations est autorisé à créer / modifier les CVE : les CNA (CVE Numbering Authority).
Annonce |
Annonce |
Contrairement à la liste publique des CVE, il existe, depuis juillet 2002, une autre centralisation des CVE incluant les descriptions des failles de sécurité trouvées et de leurs exploitations. Que les failles soient trouvées avant exploitation, par des hackers en col blanc, ou trouvées et exploitées par des cybercriminels, ces publications détaillées sont dangereuses car pouvant servir de guide d'exploitation pour d'autres cybercriminels. Elles ne sont donc publiées de manière détaillées qu'une fois corrigées, généralement dans les trois mois qui suivent leurs corrections, afin de donner le temps à la correction d'être appliquée le plus largement possible par les mécanismes de mises à jour ou tout autres moyens.
Exemples de CVE
Annonce |