Me he encontrado con una vulnerabilidad que secure @ microsoft no cree que valga la pena seguir.
Estimaría que hay muchos, muchos clientes afectados por este problema.
No quiero iniciar una campaña de base para solucionar este problema, ya que eso publicaría la vulnerabilidad en el proceso.
¿Qué debo hacer?
Podrías:
Supongo que no hay otras formas en que pueda corregir su vulnerabilidad. También, en su tema reciente ¿El exploit Oracle de ASP.NET Padding fue expuesto de manera ética? ¿Qué se podría haber hecho de manera diferente? ya te indicaron ¿Cómo divulgar una vulnerabilidad de seguridad de una manera ética? .
Una opción que no se ha mencionado en las respuestas anteriores es interactuar con CERT para que el problema se plantee con el proveedor. Tienen un formulario de informe en su sitio y manejarán la coordinación con el proveedor.
Además de la respuesta de @Ams (discusión / persuasión y divulgación completa, no tengo experiencia en la venta de ellos), posiblemente intente ponerse en contacto directamente con el equipo del producto, SI sabe a quién acudir. hable con, o tenga un contacto en el interior ...
También he encontrado que a menudo el MSRC es un poco más resistente a aceptar las vulnerabilidades que el equipo del producto, y una vez que hice que trabajaran con el MSRC para que lo tomaran (aunque en ese momento ya estaba trabajando con el equipo del producto, por lo que ...)
Yo personalmente consideraría venderlo, como dijo Ams antes. ¿Por qué? Tienen más alcance dentro de Microsoft (y otras compañías similares) que usted y luego le pagan por sus hallazgos.
Y no se preocupe por publicar la vulnerabilidad, la última vez que revisé sitios web como ZDI solo libero la información después de que se haya corregido y / o revisado.
Lea otras preguntas en las etiquetas vulnerability disclosure ethics exploit