<br><br><div><span class="gmail_quote">On 1/24/07, <b class="gmail_sendername">Christian Kujau</b> &lt;<a href="mailto:lists@nerdbynature.de">lists@nerdbynature.de</a>&gt; wrote:</span><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
On Wed, 24 Jan 2007, <a href="mailto:zdi-disclosures@3com.com">zdi-disclosures@3com.com</a> wrote:<br>&gt; -- Disclosure Timeline:<br>&gt; 2005.07.07 - Pre-exiting Digital Vaccine released to TippingPoint<br>&gt; customers
<br>&gt; 2006.10.02 - Vulnerability reported to vendor<br>&gt; 2007.01.24 - Coordinated public release of advisory<br><br>out of curiosity: why took it 1+ year to report this vulneralbility to<br>the vendor?<br><br></blockquote>
</div><br>Where do you see 1+ year? *Pre-existing* means there already existed a &quot;vaccine&quot; that blocked vulnerabilities of this type released in &#39;05. This does not necessarily mean that was when ZDI received the bug submission. So it was reported to the vendor in October and released to the public in January... 4 months is not an outstanding patch time. 
<br>