问常见的漏洞和暴露(CVEs)是如何工作的？

EN

顾名思义，CVE分为两类:漏洞和暴露都主要是给定软件代码或其配置中的错误，它们分别允许攻击者进行-for示例--获取权限提升(在用户级别环境中以根用户身份运行代码)或间接访问系统/网络。

在尝试(至少)更改您的观点之前，重要的是要记住，创建CVE的第一阶段就是发现和暴露漏洞。为了简单起见：

• CVEs是如何工作的？：一旦发现并披露了漏洞，CVE编号当局(CNA)就会为该漏洞分配一个CVE ID，然后在CVE列表上发布CVE。
• 您如何找到与特定产品相关的CVE？：有许多存储库，如@bonsaiviking所建议的，您可以使用https://cve.mitre.org/、https://www.cvedetails.com/或https://nvd.nist.gov/.
• 我在哪里可以找到CVE的修补程序呢？：通常热修复是受影响的软件供应商推动的更新，这就是为什么更新Os、Softwares、Web浏览器很重要的原因。
• 所有上市的CVEs都有修补程序吗？为了简单起见，答案是否定的，研究人员和bug猎人通常尊重所谓的漏洞披露策略，为了使其变得简单，典型的披露首先与受影响的供应商联系并使其知道发现的漏洞，例如通过提供概念和技术细节的证据，供应商应该在超过此截止日期的90天内纠正有关漏洞，如果发生这种情况，则会为"bug“分配一个CVE。
• 如果我找不到上市简历的修补程序，我该怎么办？通常，除了等待供应商更新或避免使用受影响的软件外，什么都没有。

答案并非详尽无遗，但希望能有所帮助！