Het gaat om een zero-day in Adobe Flash, waarmee een hacker buiten de sandbox-omgeving van Flash kan komen en onderdelen van Windows kan overnemen. Google heeft informatie over het lek online gezet.
 

Flash

Dat deed het bedrijf 7 dagen nadat het melding had gemaakt bij zowel Adobe als Microsoft. Adobe repareerde het lek al snel, maar Microsoft niet. Daarom besloot Google publiek te gaan met het lek. Volgens Google speelde ook mee dat de zero-day bekend was én werd gebruikt, al specificeert de zoekgigant niet door wie of op welke manier dat gebeurt.
 

KRitiek

De situatie is zowel Google als Microsoft op veel kritiek komen te staan. Google wordt verweten het lek veel te snel openbaar te hebben gemaakt, terwijl Microsoft het lek allang had moeten dichten - zeker als het bedrijf wist dat het actief werd misbruikt.
 

Responsible disclosure

Google heeft een responsible disclosure-beleid waarin staat dat het na 7 dagen publiek gaat met een lek. Dat betekent specifieker dat Google 'onderzoekers helpt om details openbaar te maken, waardoor gebruikers zelf actie kunnen ondernemen zichzelf te beschermen'. In veel andere responsible disclosure wordt 7 dagen gezien als een bijzonder korte tijd om een bug te repareren.

Aan de andere kant zou Microsoft veel te traag zijn met het repareren van het lek. Het bedrijf heeft na 7 dagen nog niet aangegeven dat het überhaupt werkt aan een fix, laat staan die uitrolt naar gebruikers.
 

Reactie

Microsoft heeft inmiddels een reactie gegeven aan VentureBeat waarin het bedrijf kritiek uit op Google. "Microsoft gelooft in het samenwerken om beveiligingslekken op te pakken, maar Google maakt gebruikers nu kwetsbaar door dit lek bekend te maken." Het bedrijf zegt echt niets over een mogelijke fix.