Ezzel válaszoltak a redmondiak a Google biztonsági csapatának múlt pénteki bejelentésére, amelyben három újabb Windows sérülékenység adatait hozták nyilvánosságra, 90 nappal azt követően, hogy azokat jelentették a Microsoftnak.
Nem az első üzenetváltás ez ebben a témában a két cég között. A Google szoftverbiztonsági mérnökeinek csapata, a Project Zero, amely a cég saját szoftverei mellett más szállítók termékeit is vizsgálja, december 29. óta több Windows sérülékenység részleteit is a nyilvánosság elé tárta, még mielőtt azokat a Microsoft kijavította volna. A Project Zero szabályzata szerint erre ugyanis automatikusan sor kerül 90 nappal azt követően, hogy az adott szoftver szállítóját tájékoztatták a felfedezett sérülékenységről.
A most nyilvánosságra hozott, három új sérülékenység is a Windows jogosultságkezelő szolgáltatását érinti, a Google biztonsági szakemberei information disclosure és elevation of privilege típusú bugként határozták meg őket, amelyek a Microsoft veszélyességi fokot értékelő skáláján jellemzően fontos besorolást kapnak. Ezúttal azonban Redmond nem ad ki javítást hozzájuk, mivel nem jelentenek komoly kockázatot a biztonságra nézve. A Google magyarázata szerint a Microsoft úgy látja, hogy a támadónak túl nagy kontrollt kellene szereznie a rendszer felett ahhoz, hogy ezeket a sérülékenységeket kihasználhassa.
Korábban azonban másképp reagált a Microsoft, a nyilvánosságra hozott sérülékenységeket javította, és a Google fejére olvasta, hogy veszélyezteti a felhasználók biztonságát. A Project Zero csapata azzal védi gyakorlatát, hogy a 90 napos határidő kellő időt hagy a szoftverszállítóknak, hogy befoltozzák a biztonsági réseket, ugyanakkor a felhasználók érdekeit is szem előtt tartja, akiknek jogukban áll, hogy értesüljenek a biztonságukat fenyegető kockázatokról. Ezzel együtt a Google folyamatosan monitorozza a 90 napos szabály hatását, és ha szükségesnek látja, változtat rajta.
A biztonsági szakértők egy része egyetért a Google-lel, mondván, hogy napjainkban a megváltozott körülmények hatására a szoftverjavítás folyamatának is fel kell gyorsulnia, más szakértők azonban úgy ítélik, hogy az internetóriás cég gyakorlata önkényes, és céljával ellentétben gyengíti a védekezés hatékonyságát. Hogy melyik félnek lehet igaza – ha egyáltalán igaza lehet valamelyiküknek –, az talán kevésbé fontos, mint az a körülmény, hogy a Project Zero olyan területre, a szoftversérülékenységekre vonatkozó információk kezelésére hívta fel az IT-biztonsági szakemberek figyelmét, amely az utóbbi időben kissé háttérbe szorult.
