Avez-vous par exemple vu passer ce bug sur la mauvaise gestion des fichiers RAR par le moteur Proventia d'IBM/ISS que Thierry a publié la semaine dernière ? Encore un grand moment de timeline (les highlights en rouge sont de moi)...

Release mode: Forced disclosure, no answer from vendor.
Vendor      : http://www.ibm.com
Security notification reaction rating : Catastrophic
    (see Timeline)
[...]
IV. Disclosure timeline

IBM was sent two POC files, an explanation and the disclosure
terms

  * 09/03/2009 : Send proof of concept, description the
    terms under which I cooperate and the planned disclosure
    date (23/03/2009)
    Note: The security contact adress listed in OSVDB was used.
 
    No reply.

  * 13/03/2009 : Resend email indicating this is the last 
     attempt to coordinate disclosure

    No reply.

  * 23/03/2009 : Send another Report and a second POC
     
    No reply.

  * 02/04/2009 : Publication of a limited detail advisory,
    grace period of 2 weeks given to IBM prior to full detail
    advisory.

  * 02/04/2009 : IBM contact is made, proof of concept sent again

  * 03/04/2009 : IBM responds that the issue is under investigation

Ça se passe de commentaire, même si j'adore le concept du "je te réponds pas sauf si tu me mets le nez dedans".

Dans un genre légèrement différent, vous avez ce problème avec les fichiers ZIP qui touche apparemment tous les produits F-Prot et qui ne devrait pas être corrigé sur les versions existantes, considéré comme suffisamment mineur par l'éditeur pour n'être programmé que comme un bugfix dans les versions à venir... Depuis quatre ans...

Après, on s'étonne, que dis-je, on s'offusque que d'autres ne trouvent plus de plaisir à publier... Et justement, en parlant de ce "No More Free Bugs", il y a un thread sur la question qui court sur Daily Dave, initié par Charlie Miller justement. Au-delà du sympathique logo à la coccinelle, les réponses sont très intéressantes...

Sans oublier quelques autres réactions çà et là...