Google ne met pas seulement la pression sur Microsoft. L'équipe Project Zero qui a récemment publié trois bugs non patchés dans Windows 90 jours après les avoir signalés à l'éditeur, vient de pointer le manque de réactivité d'Apple. Trois nouvelles failles dans MacOS X ont été portées à l'attention de la communauté, ce qui porte à six les vulnérabilités non corrigées dans l'OS de Cupertino.

Les derniers bugs ne semblent pas être très sévères et obligent un attaquant à avoir déjà accès à une machine vulnérable pour les exploiter. La faille effective_audit_token dissimulée dans le service networkd permet de contourner la sandbox pour exécuter un code malveillant et prendre le contrôle d'une machine. Une autre vulnérabilité permet également d'exécuter du code malveillant en provoquant une erreur d'adressage mémoire via l'extension IntelAccelerator. Un de ces bogues a déjà été corrigé dans la bêta 10.10.2 mais elle n'est pas accessible au grand public.

Google affirme que son objectif avec Project Zero est de réduire le nombre d'utilisateurs lésés par des attaques ciblées en forçant les éditeurs à corriger rapidement - en moins de 90 jours - leurs failles. Mais cette politique de divulgation commence à irriter certains d'entre eux. L'équipe du Project Zero de Google a déjà découvert un total de 35 bogues chez Apple. La plupart de ces failles ont été corrigées et une seule d'entre elles a été reclassée comme non valide. Les trois derniers bogues d'Apple ont été repérées par les chercheurs de Project Zero (mais pas publiées publiquement) les 20, 21 et 23 octobre 2014.