Google安全研究数据库在发现90天后自动披露了微软未修复的一个Windows 8.1安全漏洞。而这个漏洞微软计划在1月13日的例行安全更新中修复。对于Google提前泄露漏洞，微软公开进行了谴责。 微软称Google的做法令用户容易受到黑客攻击。这一公开指责凸显软件安全领域一个始终存在的紧张问题：一方认为应当及早公布漏洞信息以便向软件公司施压来解决问题；而软件开发商有时需要更多的时间才能找到解决方案。在这个事件中，Google属于前者。Google给开发商90天的时间来解决问题，超过期限就公开问题。Google周日又公开了Windows 8.1系统中创建用户档案过程中存在的一个漏洞，微软称Google拒绝等待48小时等补丁释出后再公开。Peter Bright认为唯一受损害的是用户。

事实上，谷歌一直以来都在开展一项名为“零项目”（Project Zero）的安全漏洞披露项目，该团队主要由谷歌内部顶尖安全工程师组成，旨在发现、跟踪和修补全球性的软件安全漏洞，以让用户可以更加惬意的享受互联网 生活，同时可以放心的点击广告。通常，谷歌会在公布漏洞前首先通报软件厂商并给他们90天的时间发布修复补丁。

谷歌表示，自己早在去年10月13日就向微软通报了存在于Windows 8.1系统“Windows用户档案评测服务”（Windows Elevation of Privilege in User Profile Service）模块中的漏洞。

“谷歌零项目所发现的安全漏洞会给予厂商90天的修复期，如果厂商没有在90天内发布大规模的修复补丁的话，这一漏洞报告便会自动公诸于众。”谷歌在自己的博客中写道。

对此，微软安全研究中心高级研究总监（senior director of research）克里斯-贝斯（Chris Betz）发表了名为《号召更好的漏洞协同披露》的长文博客指出，微软曾请求谷歌推迟至1月13日之后（也就是90天的宽限期后2天）再公布上述漏洞，因 为微软已经计划在1月13日向用户推送修复补丁，但谷歌却执意在1月11日就公布漏洞。贝斯认为，谷歌这一过于死板的做法最终伤害的还是普通互联网用户。

“具体来说，我们曾要求谷歌同我们合作，不要将这一漏洞在微软发布补丁前（即1月13日）公诸于众。但谷歌没有采纳我们的意见，而是执意在90天到期时公布这 一漏洞。这样的做法并没有让我们感觉谷歌坚守了自己的原则，更像是在陷我们于不义，同时也置用户的安全于不顾，因为谷歌所认为正确的事情不一定就是对待用 户的正确做法。在此，我们希望谷歌能同我们一道将保护用户视为自己最主要的目标。”贝斯在博客中这样写道。

应该说，这已经不是谷歌第一次通过“零项目”披露微软安全漏洞了，此前双方也曾因为类似的事情而在媒体上大打嘴仗。贝斯认为，安全漏洞的修复是一个广泛、复杂和耗时的工作，因为每个安全漏洞都各有不同，所以我们有时根本无法在90天的时间内完全修复一个漏洞。

对于微软的指责，谷歌并没有立刻给予置评。但英国知名“零日漏洞查杀”专家、“零项目”项目研究员本-霍克斯(Ben Hawkes)却并不同意微软的指责，他表示：“总的来说，零项目给予所发现漏洞的90天限期是合理、且经过深思熟虑的。因为这一宽限期不仅给予了软件厂 商充足的时间去修复漏洞，同时也给予了用户足够的尊重，并让它们了解自己所面临的安全风险。”（汤姆）