Fragen? Antworten! Siehe auch: Alternativlos
Oder so "ihr liefert eine veraltete libpng aus". Wer das nicht selber merkt, sollte keine Produkte am Markt haben. Aus meiner Sicht.
Wieso machen das dann so viele Hersteller, wenn sich das nicht lohnt? Dafür haben meine geschätzten Kollegen bei modzero einen Datenpunkt: Hersteller verknüpfen ihre Bug-Bounty-Programme mit Vertragsklauseln, die zum Schweigen verpflichten. In krassen Fällen wie hier bei Crowdstrike führt das dazu, dass es kein einziges CVE gegen die gibt. Nicht weil deren Produkte so toll wären, sondern weil sie alle Bugmelder in ihre Bug-Bounty-Verträge reinzudrücken versuchen, und offenbar war modzero der erste Gegenüber mit sowas wie Rückgrat und Integrität, der die damit abblitzen ließ.
Immerhin kriegen wir jetzt eine wunderbare Timeline, in der wir sehen können, wie verzweifelt Crowdstrike versucht hat, modzero unter NDA zu kriegen. Das hat schon fast was von Slapstick.