A Google divulgou uma vulnerabilidade que encontrou no Windows 10 apenas 10 dias depois de ter reportado o problema para a Microsoft, ou seja, antes da empresa ter tempo de criar um patch de segurança para resolver o problema. A situação é agravada pelo fato de que, segundo a Google, essa brecha já está sendo ativamente explorada por hackers para invadir alguns sistemas. Detalhes técnicos podem ser lidos no blog da Google neste link.

Aproveitando que estava divulgando o problema, a Google destacou que o Chrome já está protegido. O Flash também podia ser usado para explorar essa brecha (sempre o Flash), mas ele já recebeu um patch da Adobe. O motivo da empresa para expor o problema antes da Microsoft terminar seu patch teria sido para "alertar os usuários", já que essa vulnerabilidade está sendo ativamente usada por hackers. Além disso, a Google tem uma política de dar apenas 7 dias para as empresas criarem patches de segurança depois que ela faz esse tipo de report, algo que deixou a Microsoft muito descontente:

"Nós acreditamos em uma divulgação coordenada de vulnerabilidades e a divulgação da Google de hoje coloca os consumidores num risco em potencial. O Windows é a única plataforma com um comprometimento com o consumidor de investigar problemas de segurança reportados e proativamente atualizar os dispositivos assim que possível. Nós recomendamos aos consumidores que usem o Windows 10 e o Microsoft Edge para a melhor proteção."

Não existem leis ou regulamentos a respeito do report de vulnerabilidades, mas analistas e pesquisadores de segurança digital compartilham um princípio de que você deve esperar um patch de correção antes de divulgar um problema desses porque você está basicamente ensinando pessoas mal intencionadas a usarem a brecha, enquanto o usuário comum geralmente não pode fazer nada para se proteger de problemas em nível de programação que precisam ser corrigidos pela empresa. Em alguns casos, quando a companhia fica muito tempo sem resolver o problema ou não mostra intenção de trabalhar nele, a vulnerabilidade é divulgada ao público para pressionar a empresa por um patch. Mas geralmente isso leva bem mais do que 10 dias apenas.