Уязвимость была найдена участником проекта Google Project Zero Джеймсом Форшоу (James Forshaw) 17 октября 2014 г. «Microsoft проинформировала нас, что патч для этой уязвимости планируется выпустить в январе. Однако обновление было отложено из-за возникших с совместимостью проблем. Ожидается, что оно выйдет в феврале», — рассказал он.
По правилам проекта Google, посвященного поиску уязвимостей в популярном программном обеспечении, информация о найденных «дырах» публикуется спустя 90 дней после ее обнаружения и уведомления разработчика — неважно, выпустил он обновление или нет. То есть Google не стала дожидаться выпуска патча, несмотря на то, что у Microsoft появилась уважительная причина его задержки.
Точно так же Google поступила всего несколько дней назад, вызвав негодование Microsoft. В рамках этого же проекта корпорация публично раскрыла сведения о другой уязвимости в Windows 8.1, а также эксплойт к ней (она также была обнаружена Форшоу). Недовольство Microsoft было вызвано отчасти тем, что она просила Google повременить с этим шагом.
«К сожалению, Google пренебрегла правилами координированного раскрытия информации об уязвимостях и опубликовала информацию за два дня до запланированного выпуска обновления, несмотря на наши просьбы не делать этого», — написал представитель Microsoft Крис Бетс (Chris Betz) в длинном открытом письме в официальном блоге компании.
Своими действиями Google наносит вред пользователям, а вовсе их не защищает, заявил Бетс. Он призвал поискового гиганта бороться с хакерами и злоумышленниками сплоченно, а не по отдельности.
В Google ситуацию никак не прокомментировали. Когда компания анонсировала проект в июле 2014 г., говорилось, что, помимо прочего, он позволит оценить расторопность разработчиков программного обеспечения, то есть насколько быстро «дыры» устраняют одни и насколько медленно это делают другие. В компании сочли, что 90 дней вполне достаточно для устранения уязвимости.