Quand l'équipe du Project Zero d'Alphabet / Google a découvert les failles Meltdown et Spectre en juin 2017, des courriers ont été adressés à Intel, AMD et ARM pour leur en faire prendre connaissance, leur laissant 90 jours pour les corriger avant la diffusion publique, constituant la pratique courante en la matière.
Dans le cas de Meltdown et Spectre, l'US-CERT n'a pas été avertie de leur existence avant l'annonce de leur existence le 3 janvier 2018 via le site The Register.
Intel s'en explique maintenant en indiquant ne pas avoir jugé utile d'avertir les autorités dans la mesure où aucune cyberattaque les exploitant n'avait été recensée. Le groupe n'a pas non plus mené d'étude sur la dangerosité des failles pour les infrastructures critiques, estimant que les systèmes industriels ne seraient pas touchés.
De son côté, Microsoft a averti les éditeurs d'antivirus de l'existence des failles plusieurs semaines avant leur apparition publlique pour qu'ils puissent adapter leurs produits, indique Reuters.