* c. buhtz:
Schönes aktuelles Beispiel ist dieser Artikel über eine Rede von Stallman. http://heise.de/-2507190
Dort wird behauptet: "Die Redmonder klärten zudem zunächst die NSA über Sicherheitslücken auf, bevor sie diese abdichteten."
Er hat vermutlich etwas verwechselt.
Microsoft gibt Vorabinformationen an Bedarfsträger heraus:
Microsoft Active Protections Program http://technet.microsoft.com/en-us/security/dn467918.aspx
Coordinated Vulnerability Disclosure http://technet.microsoft.com/en-us/security/dn467923.aspx
Bei freier Software ist das auch nicht anders. Es gibt i.d.R. vor der Veröffentlichung einen Austausch zwischen den Distributionen, Upstreams und ggf. anderen Betroffenen, damit bei Veröffentlichung die Nutzer tatsächlich in der Lage sind, Gegenmaßnahmen zu treffen (sei es ein Software-Update oder eine Konfigurationsänderung). Bei freier Software gibt es auch den Fall (vermutlich häufiger als bei proprietärer Software), daß direkt Regierungsorganisationen oder deren Mitarbeiter beteiligt sind.
Die letzten ntpd-Schwachstellen (in der ntp.org-Implementierung) wurden zum Beispiel erst an CERT (ob US-CERT oder CMU SEI CERT/CC ist nicht ganz klar) gemeldet und gar nicht vorab an betroffene GNU/Linux-Distributionen.