Michał 'lcamtuf' Zalewski, obecnie pracownik Google, opublikował swoje narzędzie cross_fuzz służące do testowania stabilności i bezpieczeństwa przeglądarek internetowych.
Za pomocą swojego programu Zalewski znalazł około setki dziur w popularnych przeglądarkach internetowych. Odkryte luki zgłosił ich producentom. Twórcy silnika WebKit a także przeglądarek Firefox i Opera załatali większość odkrytych przez lcamtufa dziur, pozostawiając niezałatane jedynie te najtrudniejsze do odtworzenia i załatania. Wyjątkiem okazał się Microsoft, który choć potwierdził występowanie dziur, nie przygotował dla nich łatek. Wszyscy twórcy przeglądarek zostali powiadomieni w tym samym czasie - w lipcu ubiegłego roku. Microsoft miał więc dużo czasu na wydanie poprawek. Korporacja poprosiła jedynie o dodatkowe informacje w sierpniu. Mijają kolejne miesiące a poprawek nie ma. 20 grudnia lcamtuf informuje Microsoft, że zamierza upublicznić swoje narzędzie z początkiem stycznia. Dzień później Microsoft odpowiada, że analizował zgłoszone problemy w sierpniu ale nie znalazł niczego ciekawego. Tego samego dnia Zalewski wysyła jeszcze raz informacje potwierdzające występowanie dziur. Microsoftowi udaje się stwierdzić, że rzeczywiście występują. 28 grudnia odbywa się rozmowa w której Microsoft prosi lcamtufa o nieujawnianie jego narzędzia, gdyż wpłynęłoby to negatywnie na PR Microsoftu. Ponadto sugeruje, że zmiany które Zalewski wprowadził w swoim narzędziu mogły być przyczyną tego, że korporacja nie była w stanie odtworzyć błędów. lcamtuf zgadza się na odłożenie wydania programu w przypadku gdyby okazało się to prawdą. Przeprowadzone przez niego testy wskazują, że wprowadzone zmiany nie miały znaczenia. Microsoft kolejny raz przyznaje lcamtufowi rację. W tych okolicznościach Zalewski wydaje cross_fuzz.
Wydanie fuzzera zostało uzasadnione przez lcamtufa jeszcze jednym faktem. Otóż cross_fuzz był udostępniony na serwerze lcamtufa, lecz dokładny adres nie był upubliczniony. Z winy jednego z programistów silnika WebKit, Google zaindeksowało plik z adresem pod którym umieszczony był cross_fuzz. W ten sposób kod źródłowy narzędzia możliwy był do znalezienia za pomocą Google. Trzeba było jednak wiedzieć co wpisać do wyszukiwarki. lcamtuf zauważył w swoich logach, że ktoś pobrał niektóre pliki jego fuzzera 30 grudnia, a więc przed oficjalnym upublicznieniem programu. Posłużył się przy tym zapytaniami mshtml+breakaaspecial oraz breakcircularmemoryreferences, które nie występowały nigdzie indziej w Internecie. Wynika z tego, że ktoś odkrył tę samą lukę w IE co Michał Zalewski. Adres IP osoby, która odnalazła za pomocą Google pliki fuzzera jest adresem chińskim. Można się więc spodziewać, że właśnie powstają lub bardzo niedługo powstaną wirusy wykorzystujące tę lukę w Internet Explorerze.
Rzecznik prasowy Microsoft Security Response Center, poproszony o komentarz po publikacji fuzzera przez Zalewskiego powiedział, że dopiero grudniowa wersja narzędzia pozwoliła Microsoftowi na odtworzenie błędów. Wysuwa więc ten sam argument, który przedstawiany był 28 grudnia i który został obalony przez lcamtufa - błędy dało się odtworzyć za pomocą wersji lipcowej.
