O mnohých bezpečnostných chybách v softvéri vrátane operačného systému sa užívateľ zvyčajne dozvie až po tom, čo jeho tvorca vydá bezpečnostnú aktualizáciu, ktorá má za cieľ chyby opraviť. O tom, koľko času uplynie medzi ich objavením a opravou a koľko času mali útočníci na to, aby chybu využili vo svoj prospech, však už nezistí. Môže ísť o hodiny, dni, týždne, mesiace, či vo výnimočných prípadoch aj roky. Google sa v rámci svojej iniciatívy Project Zero rozhodol motivovať iné softvérové k tomu, aby sa s bezpečnostnými problémami vysporiadali rýchlejšie ako majú vo zvyku a nevystavovali tak užívateľov zbytočnému riziku.
Google chce verejnosť informovať o chybách, ktoré tvorcovia nezaplátali
Project Zero má pritom rovnako veľa priaznivcov ako aj odporcov, tak z kruhov firiem ako aj odborníkov na bezpečnosť. Niektorí obviňujú Google z toho, že ide len o populistickú a veľmi povrchnú iniciatívu, ktorá nezohľadňuje napríklad skutočnosť, koľko času vývojárom potrvá, kým chybu opravia. “Google nemá k dispozícii kódy celého operačného systému, takže nemá ani len predstavu, aké množstvo iného kódu musí spoločnosť prepísať, aby konkrétny problém opravila,” uviedol server BBC vyjadrenie jedného z vývojárov, ktorí kroky Googlu odsudzujú. Zástancovia zas tvrdia, že Google nie je ten zlý. “Microsoft jednoducho zaspal na vavrínoch a neopravil chybu včas.” V skutočnosti dáva Google tvorcom softvéru až 90 dní na to, aby objavený problém opravili.
Microsoft tvrdí, že chybu intenzívne opravoval a Google žiadal o spoluprácu
V konkrétnom prípade Google objavil bezpečnostnú chybu v systéme Windows 8.1 už 13. októbra minulého roka. Chyba sa týkala jedného z komponentov jadra operačného systému, zodpovedného za ukladanie údajov do medzipamäte pre potreby ich zdieľania medzi viacerými procesmi. V skutku nenápadná chyba ale mohla útočníkom umožniť spúšťať v systéme nové procesy s právami administrátora a získať tak kontrolu nad systémom.
Microsoft 11. januára o chybe informoval verejnosť. Spoločnosť ale podľa vlastných slov v predstihu Google požiadala, aby s publikovaním správy počakal do 13. januára, kedy plánovala vydať aktualizáciu. Google tak neurobil a podľa Microsoftu tak sám vystavil užívateľov riziku.