Már melyik esetben? Ahol egyértelmű volt a biztonsági hiba kihasználhatósága, ott szinte azonnal megvolt a javítás. Néhány napja volt PWN2OWN, a hiba NDA alatt volt, megcsinálták a javítást és már a gépeden van. Szerintem ez gyors.
A második esetben a Mozilla szerint stabilitási problémaként lett bejelentve egy Andre nevű user által az Ubuntu-hoz. Az Ubuntu-tól egy másik tag bejelentette a Mozilla-hoz, ahol elkezdték vizsgálni a problémát. Közben Guido Landi is bejelentette és ezután megszületett a javítás egy _lehetségesen_ kihasználható problémára.
A kettő közt a lényeges eltérés az, hogy az első esetben egyértelműen kihasználható biztonsági problémáról van szó, amelyet a hiba kihasználója (Nils) ledokumentálva átadott a TippingPoint-nak, a Tippingpoint átadta a Mozilla-nak - nem kizárható, hogy a lehetséges javításra tett javaslattal együtt - a Mozilla-nak pedig csak ki kellett javítania.
A második esetben pedig adott volt egy crash, amelyet egy laikus jelentett be minden részlet ismertetése nélkül. Ezt egy másik közösségi tag bejelentette a Mozilla-nak, amelyik elkezdte vizsgálni, a vizsgálat során kiderült, hogy akár biztonsági vonzata is lehet. Ezután erre kellett javítást csinálni.
Az első esetben nyilvánvalóan sokkal könnyebb dolga volt a Mozilla-nak. Az első esetben a probléma egyértelműen kihasználható (hiszen Nils nyert vele), így a Mozilla-nak azonnal kellett reagálni. A második esetben a probléma még most is "potentially use this crash to run arbitrary code on a victim's computer" leírással van, a "potentially" pedig azt jelenti, hogy "lehetségesen".
Persze a szerencsés lenne, ha a "lehetségesen" kihasználható sebezhetőségeket is 10 perc alatt kijavítanák, azért az látszik, hogy a két eset több ponton is eltérő.
--
trey @ gépház