<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<HTML>
<HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=us-ascii">
<META NAME="Generator" CONTENT="MS Exchange Server version 6.0.4630.0">
<TITLE>[Full-disclosure] MSIE (mshtml.dll) OBJECT tag vulnerability</TITLE>
</HEAD>
<BODY>
<!-- Converted from text/rtf format -->

<P><FONT SIZE=2 FACE="Arial">You do a disservice to all IT shops by announcing these vulnerabilities before contacting the vendor. I am sure it would not generate as much web traffic to your site, but it is only fair and right to allow at least some amount of time for the vendor to respond. If you think you are helping, you are wrong. Would you go around town checking which stores are unlocked at night and then publish the list in the news before letting the shop owners know? That's pretty much what you are doing. It's just not helping. There is no proof that it is either.</FONT></P>

<P><B><FONT SIZE=2 FACE="Arial">Tim Bilbro</FONT></B>

<BR><FONT SIZE=2 FACE="Arial">Information Security Specialist</FONT>

<BR><FONT SIZE=1 FACE="Arial">CISSP, MCSE</FONT>

<BR><I><FONT SIZE=1 FACE="Arial">trbilbro@verizon.net</FONT></I>

<BR><I><FONT SIZE=1 FACE="Arial">web: </FONT></I><A HREF="file://www.bloglines.com/blog/Bilbro"><I><U><FONT COLOR="#0000FF" SIZE=1 FACE="Arial">www.bloglines.com/blog/Bilbro</FONT></U></I></A><I></I>

<BR><I><FONT SIZE=1 FACE="Arial">RSS: </FONT></I><A HREF="file://www.bloglines.com/blog/Bilbro/rss"><I><U><FONT COLOR="#0000FF" SIZE=1 FACE="Arial">www.bloglines.com/blog/Bilbro/rss</FONT></U></I></A><I></I>
</P>

</BODY>
</HTML>