A atitude foi criticada por Chris Betz, diretor sênior do centro de resposta a incidentes de segurança da Microsoft. "Pedimos ao Google que torne a proteção dos nossos clientes em um objetivo primário coletivo" escreveu o executivo.
Os detalhes da falha de segurança foram revelados como parte do "Projeto Zero". Trata-se de uma iniciativa do Google para patrocinar a pesquisa de segurança em diversos produtos de relevância significativa. Pelas regras, qualquer vulnerabilidade encontrada será comunicada ao desenvolvedor e divulgada publicamente após um prazo de 90 dias.
A nova vulnerabilidade foi encontrada pelo mesmo pesquisador da brecha divulgada no dia 29 de dezembro. Ela é aparentemente menos grave: recebeu uma classificação "média" de severidade, enquanto a anterior foi classificada como "alta". O problema também envolve erros de permissões no Windows, podendo permitir que um usuário comum interfira com arquivos de outros usuários, inclusive arquivos do sistema.
A Microsoft havia solicitado que o Google segurasse as informações por mais dois dias, até esta terça-feira (13), data marcada para o lançamento de uma atualização do Windows para eliminar a falha. O calendário de atualizações da Microsoft reserva a segunda terça-feira útil de cada mês para o lançamento das atualizações de segurança para os produtos da companhia para permitir que técnicos e administradores de sistema estejam preparados para instalar as atualizações.
De acordo com um relatório publicado pelo Google junto dos detalhes da falha, a Microsoft foi informada que o prazo não era negociável. "A Microsoft foi informada que o prazo de 90 dias é fixo para todos os desenvolvedores e tipos de bugs e não pode ser estendido", diz o relato de uma comunicação datada de 11 de novembro de 2014.
Criticando o Google, o diretor do centro de resposta a incidentes da Microsoft Chris Betz advogou a "Revelação Coordenada de Vulnerabilidades" (CVD, na sigla em inglês). Nesse modelo, o desenvolvedor (no caso, a Microsoft) e o pesquisador entram em um acordo a respeito de uma data na qual os detalhes da brecha serão publicados – preferencialmente após uma atualização ser disponibilizada.
"Embora proceder dessa maneira cumpra o prazo anunciado pelo Google, a decisão não se parece tanto com princípios e mais como um 'te peguei', com os consumidores possivelmente sofrendo como resultado", escreveu Bentz.
Usuários e pesquisadores estão comentando sobre a política do Google na página do projeto. Um dos pesquisadores do "Projeto Zero" disse que a empresa está "monitorando os resultados". "O prazo do projeto está definido desde a formação do nosso time [em meados de 2014]. É o resultado de muitos anos de considerações cuidadosas e discussões em toda a indústria sobre a remediação de vulnerabilidades", justificou um pesquisador que usa o nome de "Ben". "Dito isso, vamos monitorar de perto os efeitos desta política. Queremos que nossas decisões aqui sejam fundamentadas em dados e estamos sempre buscando melhorias que beneficiem a segurança dos usuários. Estamos felizes em dizer que os resultados iniciais mostraram que a maioria das falhas que relatamos são corrigidas antes do prazo, que é um atestado do trabalho duro dos desenvolvedores", disse o pesquisador do Google.
