Mi sono imbattuto in una vulnerabilità che protegge @ microsoft non ritiene che valga la pena di proseguire.
Ritengo che ci siano molti, molti clienti interessati da questo problema.
Non voglio avviare una campagna di base per risolvere questo problema, in quanto ciò renderebbe pubblica la vulnerabilità nel processo.
Che cosa dovrei fare?
Potresti:
Suppongo che non ci siano altri modi per correggere la vulnerabilità. Inoltre, nel tuo recente argomento L'exploit Oracle di Padding ASP.NET è stato esposto in modo etico? Cosa avrebbe potuto essere fatto in modo diverso? eri già indirizzato a Come divulgare una vulnerabilità della sicurezza in modo etico? .
Un'opzione che non è stata menzionata nelle risposte precedenti è coinvolgente con CERT per risolvere il problema con il venditore. Hanno un modulo di segnalazione sul loro sito e gestirà il coordinamento con il venditore.
Oltre alla risposta @Ams (discussione / persuasione e divulgazione completa, non ho esperienza con la vendita), potresti provare a contattare direttamente il team del prodotto: SE ti capita di sapere chi parlare o avere un contatto all'interno ...
Anch'io ho scoperto che spesso i MSRC sono un po 'più resistenti ad accettare vulns rispetto al team del prodotto, e una volta li ho fatti lavorare con MSRC per convincerli a prenderlo (anche se all'epoca stavo già lavorando con il team del prodotto, quindi. ...)
Personalmente, considererei personalmente la vendita, come ha detto prima Ams. Perché? Hanno una maggiore portata all'interno di Microsoft (e di altre società simili) quindi tu e il secondo sei pagato per i risultati.
E non preoccuparti di pubblicare la vulnerabilità, l'ultima volta che ho controllato che siti Web come ZDI rilasciano le informazioni solo dopo che sono state riparate e / o corrette.
Leggi altre domande sui tag ethics vulnerability disclosure exploit