Уязвимость была найдена участником проекта Google Project Zero Джеймсом Форшоу 17 октября. "Microsoft проинформировала нас, что патч для этой уязвимости планируется выпустить в январе. Однако обновление было отложено из-за возникших с совместимостью проблем. Ожидается, что оно выйдет в феврале", - рассказал он.
По правилам проекта Google, посвященного поиску уязвимостей в популярном программном обеспечении, информация о найденных "дырах" публикуется спустя 90 дней после ее обнаружения и уведомления разработчика - неважно, выпустил он обновление или нет. То есть Google не стала дожидаться выпуска патча, несмотря на то, что у Microsoft появилась уважительная причина его задержки.
Точно так же Google поступила всего несколько дней назад, вызвав негодование Microsoft. В рамках этого же проекта корпорация публично раскрыла сведения о другой уязвимости в Windows 8.1, а также эксплойт к ней (она также была обнаружена Форшоу). Недовольство Microsoft было вызвано отчасти тем, что она просила Google повременить с этим шагом.
В Microsoft считают, что Google подставила пользователей
"К сожалению, Google пренебрегла правилами координированного раскрытия информации об уязвимостях и опубликовала информацию за два дня до запланированного выпуска обновления, несмотря на наши просьбы не делать этого", - написал представитель Microsoft Крис Бетс в открытом письме в официальном блоге компании.
Своими действиями Google наносит вред пользователям, а вовсе их не защищает, заявил Бетс. Он призвал поискового гиганта бороться с хакерами и злоумышленниками сплоченно, а не по отдельности.
В Google ситуацию никак не прокомментировали. Когда компания анонсировала проект в июле 2014 года, говорилось, что, помимо прочего, он позволит оценить расторопность разработчиков программного обеспечения, то есть насколько быстро "дыры" устраняют одни и насколько медленно это делают другие. В компании сочли, что 90 дней вполне достаточно для устранения уязвимости.