Durante la scrittura di software per una piattaforma applicativa sviluppata da una società di terze parti, ho riscontrato una vulnerabilità di sicurezza nel codice del framework che poteva consentire al codice non privilegiato di eseguire l'escalation dei privilegi non autorizzati attraverso una vulnerabilità in una soluzione sandbox.
Ho informato la compagnia del problema di sicurezza e ho persino sviluppato una patch per il problema in meno di una settimana e la società non ha ancora rilasciato un aggiornamento al prodotto per correggere questa vulnerabilità.
Questa azienda ha attualmente venduto oltre 40 milioni di copie di questo prodotto e, dopo diverse settimane, non ha ancora risolto questa vulnerabilità. Cosa devo fare per rendere le persone consapevoli di questa vulnerabilità e cosa possono fare per proteggersi, senza fornire gli strumenti "cattivi" che potrebbero essere utilizzati per attaccare la piattaforma? C'è qualcosa che potrei fare per convincere l'azienda a rilasciare un aggiornamento di sicurezza più veloce?
Quali sono le migliori pratiche nel settore della sicurezza per questo tipo di situazione (nota: sono uno sviluppatore di software, non un esperto di sicurezza IT)?