"Erdekes amugy, hogy csak meg egy honap lett volna kb, de ahogy megjelent, par nap mulva megis tudtak javitani. Szoval menne ez :)"
Nyilván amikor megtudták, hogy a Google nem ad még egy hónapot, előrébb hozták a javítást, nem azalatt a pár nap alatt dobták össze...
Elképzelem hogy működhet ez a Microsoftnál: minden terméknek van egy vagy több csapata, ezek a csapatok viszont relatív kicsik, nyilván feladatfüggő hogy pontosan mennyire. Ebből következően ezekben a csapatokban nincsenek security expertek, ők egy vagy több külön csapatot alkotnak a cégen belül. Feladatkörük többek között a termékek tesztelése biztonsági szempontból, biztonsági hibák javításainak validálása, új biztonsági megoldások fejlesztése (legalábbis azok tervezése), bejelentett biztonsági hibák kivizsgálása (valid-e a bejelentés, mekkora a scopeja), stb. A Microsoftnak van egy rakás szoftvere, jó biztonsági szakemberből meg kevés van, tehát ez(ek) a csapat(ok) baromira túlterhelt(ek), több hónapra elég feladatuk van. Ezért egy ilyen csapat esetén nehéz megállapítani, hogy minek mekkora prioritást kell élveznie, mert sok a szempont, ezért szerintem teljesen normális, ha egy biztonsági hibával foglalkozás adott esetben kisebb prioritású, attól függően hogy kihasználják-e már azt, mennyire korlátozott, stb.
A másik probléma, hogy miután javították a hibát, le kell ellenőrizni, hogy nem tör-e el semmit. Figyelembe véve, hogy a Microsoft hány éves támogatást ad a szoftvereire, illetve azt, hogy egyes komponensekre hány szoftver épül, amiket összesen hány felhasználó használ, ez rengeteg (remélhetőleg automatikus) tesztelést jelent. Szinte biztos vagyok benne, hogy a legtöbb biztonsági javítás első verziója eltör pár tesztet, ezeket megint csak ki kell vizsgálni, módosítani a javítást és újra tesztelni.