This is a very big gray area, depending where the vuln is.  If this vuln causes loss of life or perhaps significant loss of revenue, it could be bad.   I would suggest consulting with someone who has done this previously like Dan and see how to do this to CYA.  <br>
<br><div class="gmail_quote">On Mon, Jul 25, 2011 at 2:17 AM, Andy Isaacson <span dir="ltr"><<a href="mailto:adi@hexapodia.org">adi@hexapodia.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
<div class="im">On Sat, Jul 23, 2011 at 11:33:28PM -0700, Danny O'Brien wrote:<br>
> I've been able to deduce a fairly glaring security problem with a<br>
> widely-available commercial product. Other users have found the same<br>
> problem, and reported it to the company, but it sounds like they've<br>
> sat on the problem for at least two months without pushing out a fix.<br>
> (There's no cleverness here: it really didn't take me very long to<br>
> work out a workable remote exploit from public information. It's a<br>
> very clumsy mistake.)<br>
><br>
> Can somebody who has been through this themselves walk me through the<br>
> actual protocol to formally report this to the company (or gather<br>
> evidence that they've been aware of the problem), and how to publicise<br>
> it further through the correct channels?<br>
<br>
</div>The simple way is to write up a description of the problem and email it<br>
to whatever email addresses you can find at the company, with a note<br>
that you'll be posting it to full-disclosure on <DATE>.  They're the<br>
ones at fault here; publishing information about their failure to secure<br>
their products is you doing them a favor, and you don't need to put<br>
yourself out any more than necessary.<br>
<br>
Responsible companies have a security contact address, and you can<br>
generally find them by googling "<company> security contact", but of<br>
course anyone who hasn't responded to a known issue in two months isn't<br>
a responsible company.<br>
<font color="#888888"><br>
-andy<br>
</font><div><div></div><div class="h5">_______________________________________________<br>
Noisebridge-discuss mailing list<br>
<a href="mailto:Noisebridge-discuss@lists.noisebridge.net">Noisebridge-discuss@lists.noisebridge.net</a><br>
<a href="https://www.noisebridge.net/mailman/listinfo/noisebridge-discuss" target="_blank">https://www.noisebridge.net/mailman/listinfo/noisebridge-discuss</a><br>
</div></div></blockquote></div><br><br clear="all"><br>-- <br>Ronald Cotoni<div>Systems Engineer</div><br>