#44 Sí, lo hicieron. En aquellos años éramos ya muchos dándoles el coñazo: David Litchfield, Cesar Cerrudo, Alexander Kornbrust, etc... Eso sí, tardaron de media 1 año por vulnerabilidad. Y una de ellas, la más gorda (TNS Poison la llamé), tardaron 4 años y, para cuando se la reporté yo, ya la conocían 4 años antes.
#29 Dejé de buscar vulnerabilidades en Oracle hace muchos años. Pero, lo que si que te puedo decir, es que dejé de buscar y los siguientes 3 años seguí apareciendo en sus boletines de corrección de vulnerabilidades (CPU, Critical Patch Updates).
#36 Realmente ese es el problema. En las casa AVs hay hackers muy buenos con ideas magníficas que se bloquean porque la dirección no las entiende o porque requiere un tiempo de desarrollo que, económicamente hablando, no les parece que revierta. Un ejemplo práctico: en el AV donde trabajé, comenté para hacer una cosa que preveíamos (los técnicos) tardaría 6 meses. Mentimos y dijimos que tardaríamos 3 para ver si aprobaban dicha idea. Resultado: nos dijeron que 3 meses era muchísimo tiempo, que si no podíamos hacer algo en una semana. Y eso es lo habitual.
Eso sí, dinero para campañas de marketing, el que sea. Porque eso si que ven rapidamente que revierte. Calidad de software? Eso no lo ve el cliente.
#121 matalaz 
Pues pregunta y ya está.