>еще раз, для одаренных - вопрос стоял не сколько уходит времени на
>устранение (что отдельный разговор), а сколько дыра существует вообще.
>и, кстати, не факт что она не эксплуатировалась. Про то, что МС пренебрегает тестированием - для меня очевидный факт.
В свое время получил во время разработки странный результат, проявлявшийся в падении RPCSS при отправке не совсем корректно сформированного пакета RPC. Немножко анализа показало, что существует дыра, и вполне вероятно, эксплоитабельна.
Отправил уведомление MS с описанием вероятной дыры. Получил сообщение автоответчика, и стал ждать "живого" ответа. Прошел месяц. Два. Я забил. И вспомнил уже позже - когда через год появился Blast, который эксплуатировал эту самую дыру в RPC.