st-ce que vous avez vu la politique de publication de failles de Thierry Zoller ? Si ce n'est pas le cas, allez y jeter un coup d'œil, ça ne manque pas de piquant. Il y a pleins de passages savamment rédigés, dans un style direct mais clair, comme celui-ci :
Please understand that this is a free service too you, I have not sold the information and taken the time to report it to you. I am trying to help you protect your customers. The very least I expect is an acknowledgement of e-mails and replies.
D'aucuns trouvent cette politique un peu dure, en particulier le timing laissé à l'éditeur pour répondre et notifier le chercheur de ses avancées, pourtant, nombre d'entre eux s'en accommodent très bien. Pour d'autres par contre, ça semble être un réveil matin efficace...
Avez-vous par exemple vu passer ce bug sur la mauvaise gestion des fichiers RAR par le moteur Proventia d'IBM/ISS que Thierry a publié la semaine dernière ? Encore un grand moment de timeline (les highlights en rouge sont de moi)...
Release mode: Forced disclosure, no answer from vendor.
Vendor : http://www.ibm.com
Security notification reaction rating : Catastrophic
(see Timeline)
[...]
IV. Disclosure timeline
IBM was sent two POC files, an explanation and the disclosure
terms
* 09/03/2009 : Send proof of concept, description the
terms under which I cooperate and the planned disclosure
date (23/03/2009)
Note: The security contact adress listed in OSVDB was used.
No reply.
* 13/03/2009 : Resend email indicating this is the last
attempt to coordinate disclosure
No reply.
* 23/03/2009 : Send another Report and a second POC
No reply.
* 02/04/2009 : Publication of a limited detail advisory,
grace period of 2 weeks given to IBM prior to full detail
advisory.
* 02/04/2009 : IBM contact is made, proof of concept sent again
* 03/04/2009 : IBM responds that the issue is under investigation
Ça se passe de commentaire, même si j'adore le concept du "je te réponds pas sauf si tu me mets le nez dedans".
Dans un genre légèrement différent, vous avez ce problème avec les fichiers ZIP qui touche apparemment tous les produits F-Prot et qui ne devrait pas être corrigé sur les versions existantes, considéré comme suffisamment mineur par l'éditeur pour n'être programmé que comme un bugfix dans les versions à venir... Depuis quatre ans...
Après, on s'étonne, que dis-je, on s'offusque que d'autres ne trouvent plus de plaisir à publier... Et justement, en parlant de ce "No More Free Bugs", il y a un thread sur la question qui court sur Daily Dave, initié par Charlie Miller justement. Au-delà du sympathique logo à la coccinelle, les réponses sont très intéressantes...
Sans oublier quelques autres réactions çà et là...
Jeu de briques
Snake
Pacman
Bubble