CVE-2017-5428 (mfsa2017-08)是零日吗？

Question

MFSA-2017-08是Mozilla中的整数溢出漏洞.它是通过Pwn2Own竞赛报告的，并在Firefox52.0.1中进行了修正。

这篇文章将其描述为零日漏洞，但我认为Pwn2Own使用了协调一致的披露策略？Mozilla bug还没有打开，而且我在其他地方找不到利用信息，但是我可能不知道该在哪里查找。

我们是否需要恐慌(可以这么说)，或者我们是否可以像其他每一个浏览器安全更新一样，在紧急但不恐慌的基础上对待52.0.1呢？

Answer 1

不，今天不是零日。没有证据表明修补程序之前的任何攻击都利用了此漏洞。这只是火狐中一个新的漏洞，在Pwn2Own中演示过。

Answer 2

对于评估风险来说，零日不是一个有用的分类。就风险而言，重要的是：

• 这种虫子在野外被积极利用了吗？
• 这个错误的知识有多广泛？
• 考虑到公众对此bug的了解，重现对此漏洞的利用有多难。

新版本的firefox是可用的，因此已经发布了有关此bug的知识(至少修复它所需的源代码更改)。我不知道复制这个剥削有多难。

你应该修补的紧迫性取决于你所期望的建议，你对政府或有组织的罪犯感兴趣吗？如果是的话，现在就更新。如果没有，请按照您的正常流程进行安全更新。

当错误在Pwn2Own中使用时，bug是一个“零天”，即供应商不知道它。一旦它被透露给火狐(Pwn2Own的条件之一)，它就不再是“零日”了，也就是说供应商知道了。