Quoi qu'il en soit, l'alerte est montée d'un cran puisque Microsoft a mis à jour son avis de sécurité pour prendre en compte des attaques qualifiées pour l'heure de limitées et ciblées. Elles tirent parti du code exploit en guise de preuve de concept que Tavis Ormandy a mis en ligne.
L'éditeur britannique Sophos indique avoir identifié le premier cas d'exploitation de ladite vulnérabilité via un site Web afin d'installer du code malveillant sur des ordinateurs. Ce malware de type cheval de Troie télécharge et exécute d'autres nuisibles sur l'ordinateur de la victime.
Au-delà de la rixe entre Microsoft et Google, voilà qui devrait une nouvelle fois relancer le débat autour du full disclosure. En l'occurrence, Tavis Ormandy avait pris soin de prévenir Microsoft de sa trouvaille et de lui laisser un laps de temps de cinq jours pour réagir avant de tout étaler sur la place publique.