[HACK] Microsoft to Offer Patches to U.S. Govt. First

["Fermín J. Serna"]

Hola,

Crg, no me decanto "tajantemente" en publicar o no (depende del caso), 
sólo quiero defender la opción del investigador a hacerlo o no según sus 
intereses, y que no le impongan algunos (y digo algunos) innecesarios 
timelines para hace pública la noticia, que normalmente perjudican la 
planificación del investigador.

Te pongo un ejemplo:

Hace años saco un remote root curioso [1] de iplanet 4.* y 6* en UNIX. 
Contacto  con SUN y les mando suficientes datos para que lo comprueben. 
Supongo que el parche no sería mas de dos lineas y me piden 3 meses para 
hacerlo público... Pk? pk a SUN le conviene para sus intereses con sus 
clientes... y NGSEC donde queda? que pasa de mi tiempo invertido y la 
planificación del release? Conclusión: les doy dos semanas para que un 
programador haga el fix de dos lineas, haga los paquetes, practiquen su 
burocracia y los suba a su web...

Os acordais el lio de HP con una empresa que casi llegan a juicios por 
publicar un local root de HPUX sin seguir su timeline... un local!!! 
demencial.

Es opción del desarrollador publicar o no, y como hacerlo. Como bien 
dices, y si recuerdas de mi primer mail, con un poco de cabeza.

Anda que no habrá ganado dinero MS por bannear serial numbers en los 
updates de Windows. Creo que estamos haciendo un trabajo no remunerado 
para MS entre otros (por no hablar de las casas antivirus que ahora 
mismo para el cliente de calle son el frenadol para sus problemas de 
seguridad, y no sólo virus, que no precisamente ellos descubren).

Todo esto no podría llevarlo a cabo en Francia, una pena.

PD: Gracias por las flores ;)

[1] http://www.ngsec.com/docs/whitepapers/Iplanet-NG-XSS-analysis.pdf

Un saludo,

--
Fermín J. Serna @ NGSEC http://www.ngsec.com
Zhodiac @ HOME http://zhodiac.net-dreamer.net