脆弱性なはなし

脆弱性を見つけたり、そういうことは出来ないし、どうやってみつけてるんだろー?

ソースの提供されていないプログラムをリバースエンジニアリングしてバッファオーバーフローを探す、みたいな話であれば、「セキュアソフトウェア」あたりが参考になります。
そうでない大半のものは「探す」というほど積極的な意思によるものではなく、「思いつく」「気付く」という感じですね、私の場合。
「これ、こんな仕様だけど、もしかしてこんなふうに使えるんじゃないの」「RFCにはこんなふうに書いてあるけど、みんなここまで気を使ってないんじゃないの?」と。で、2つ3つの対象をサンプルとして試してみると、結構ビンゴだったりするわけです。要は、"Know Your Enemy" ってことで(笑)
あと、他製品や他バージョンへの波及を調べるのに時間がかかるというのであれば、素直に調査中だからもう少し時間がかかると報告者に連絡すればいいんじゃないの、と思います。報告したにも関わらず、開発者側からそれ以降一切連絡がなく、対策の進捗が見えないというのは報告者にとってはすごくじれったいと思いますので。