Microsoft ha criticato Google con una certa asprezza per aver pubblicato informazioni riguardo a bug di Windows 8.1 due giorni prima la pubblicazione della patch correttiva. L'azienda californiana, da parte propria, ha seguito la procedura prevista dal Project Zero, che prevede appunto la pubblicazione dei bug 90 giorni dopo la notifica all'azienda produttrice - Microsoft in questo caso.
Microsoft, stando a quanto scrive Chris Betz, aveva chiesto a Google di posticipare di un paio di giorni la pubblicazione, cioè fino a oggi. Google ha deciso di restare fedele al proprio impegno invece, suscitando una certa ira in quel di Redmond.
"La decisione non sembra tanto una questione di principio", scrive Betz, "quanto invece un messaggio come 'ti ho beccato', ma sono i clienti quelli che potrebbero soffrirne le conseguenze. Quello che è giusto per Google non è sempre giusto per i clienti. Chiediamo a Google di unirsi a noi nel rendere la sicurezza dei clienti l'obiettivo principale".
A rispondere per Google ci ha pensato Ben Hawkes, nello stesso thread usato per diffondere la vulnerabilità. Hawkes, membro del team Zero Project dal primo momento, ha difeso l'approccio di Google e sottolineato che "le deadline per la pubblicazione al momento sono l'approccio ideale per la sicurezza dell'utente. Concedono al produttore tempo adeguato e ragionevole per testare le loro procedure, e rispetta il diritto degli utenti a conoscere e comprendere i rischi".
"Detto questo", continua Hawkes, "terremo sotto controllo gli effetti di questa politica. Vogliamo prendere decisioni basate sui fatti, e cerchiamo costantemente migliorie che possano aumentare la sicurezza degli utenti".
È interessante notare che la pubblicazione del materiale è completamente automatizzata e si attiva allo scadere del tempo previsto. Una strategia che trova i suoi sostenitori e detrattori, e che comprensibilmente ha sollevato lamentele in casa Microsoft. Entrambe le aziende affermano che l'obiettivo è tutelare la sicurezza, ma l'approccio è evidentemente diverso: Microsoft vorrebbe che la vulnerabilità resti riservata fino alla pubblicazione della patch, mentre Google ha scelto la strada dei 90 giorni prima di rendere pubblici i bug. Chi ha ragione?