Mientras escribía software para una plataforma de aplicaciones desarrollada por una compañía de terceros, encontré una vulnerabilidad de seguridad en el código del marco que podría permitir que un código sin privilegios realice una escalada de privilegios no autorizada a través de una vulnerabilidad en una solución de espacio aislado.
He notificado a la compañía el problema de seguridad e incluso he desarrollado un parche para el problema en menos de una semana y la compañía aún no ha publicado una actualización del producto para corregir esta vulnerabilidad.
Esta compañía ha vendido actualmente más de 40 millones de copias de este producto, y después de varias semanas, todavía no se ha solucionado esta vulnerabilidad. ¿Qué debo hacer para que las personas tomen conciencia de esta vulnerabilidad y qué pueden hacer para protegerse sin darles a los "tipos malos" las herramientas que podrían usarse para atacar la plataforma? ¿Hay algo que pueda hacer para convencer a la compañía de lanzar una actualización de seguridad más rápido?
¿Cuáles son las mejores prácticas en la industria de la seguridad para este tipo de situación (nota: soy un desarrollador de software, no un experto en seguridad de TI)?