This is a very big gray area, depending where the vuln is.  If this vuln causes loss of life or perhaps significant loss of revenue, it could be bad.   I would suggest consulting with someone who has done this previously like Dan and see how to do this to CYA.  <br>
<br><div class="gmail_quote">On Mon, Jul 25, 2011 at 2:17 AM, Andy Isaacson <span dir="ltr">&lt;<a href="mailto:adi@hexapodia.org">adi@hexapodia.org</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
<div class="im">On Sat, Jul 23, 2011 at 11:33:28PM -0700, Danny O&#39;Brien wrote:<br>
&gt; I&#39;ve been able to deduce a fairly glaring security problem with a<br>
&gt; widely-available commercial product. Other users have found the same<br>
&gt; problem, and reported it to the company, but it sounds like they&#39;ve<br>
&gt; sat on the problem for at least two months without pushing out a fix.<br>
&gt; (There&#39;s no cleverness here: it really didn&#39;t take me very long to<br>
&gt; work out a workable remote exploit from public information. It&#39;s a<br>
&gt; very clumsy mistake.)<br>
&gt;<br>
&gt; Can somebody who has been through this themselves walk me through the<br>
&gt; actual protocol to formally report this to the company (or gather<br>
&gt; evidence that they&#39;ve been aware of the problem), and how to publicise<br>
&gt; it further through the correct channels?<br>
<br>
</div>The simple way is to write up a description of the problem and email it<br>
to whatever email addresses you can find at the company, with a note<br>
that you&#39;ll be posting it to full-disclosure on &lt;DATE&gt;.  They&#39;re the<br>
ones at fault here; publishing information about their failure to secure<br>
their products is you doing them a favor, and you don&#39;t need to put<br>
yourself out any more than necessary.<br>
<br>
Responsible companies have a security contact address, and you can<br>
generally find them by googling &quot;&lt;company&gt; security contact&quot;, but of<br>
course anyone who hasn&#39;t responded to a known issue in two months isn&#39;t<br>
a responsible company.<br>
<font color="#888888"><br>
-andy<br>
</font><div><div></div><div class="h5">_______________________________________________<br>
Noisebridge-discuss mailing list<br>
<a href="mailto:Noisebridge-discuss@lists.noisebridge.net">Noisebridge-discuss@lists.noisebridge.net</a><br>
<a href="https://www.noisebridge.net/mailman/listinfo/noisebridge-discuss" target="_blank">https://www.noisebridge.net/mailman/listinfo/noisebridge-discuss</a><br>
</div></div></blockquote></div><br><br clear="all"><br>-- <br>Ronald Cotoni<div>Systems Engineer</div><br>