Sau khi một công ty bảo mật thông báo tìm thấy trong Chrome một lỗ hổng có thể cho phép kẻ tấn công chiếm quyền điều khiển PC cài Windows, Google lên tiếng cho rằng lỗ hổng đó nằm trong Flash của Adobe tích hợp trong trình duyệt.
Một số kỹ sư bảo mật của Google đã phản đối những khẳng định nói rằng, công ty bảo mật Vupen của Pháp đã tìm thấy một lỗ hổng trong Chrome có thể cho phép kẻ tấn công chiếm quyền điều khiển PC cài Windows đang chạy trình duyệt này. Thay vào đó những kỹ sư này cho biết, lỗi mà Vupen khai thác để hack Chrome là trong Flash của Adobe (mà Google đã đưa vào trình duyệt từ hơn 1 năm nay).
Quan điểm chính thức của Google không thay đổi kể từ ngày 8/5/2011, khi Vupen tuyên bố hack thành công Chrome bằng cách tránh né không chỉ cơ chế "sandbox" tích hợp trong trình duyệt mà còn tránh được cả các công nghệ chống khai thác tích hợp của Windows 7.
"Cuộc điều tra đang được tiến hành vì Vupen không chia sẻ bất kỳ chi tiết nào với chúng tôi", hôm 11/5/2011 một phát ngôn viên của Google cho biết. Nhưng những người khác đang làm việc cho Google (như Tavis Ormandy, Chris Evans, Justin Schuh) thì chắc chắn rằng, ít nhất 1 trong các lỗi mà Vupen khai thác nằm trong mã của Flash chứ không phải của Chrome.
Khi được hỏi để xác nhận nguồn gốc của những lỗ hổng họ đã khai thác, Vupen thẳng thừng từ chối chia sẻ bất kỳ thông tin nào.
"Chúng tôi sẽ không giúp Google trong việc tìm ra các lỗ hổng", ông Chaouki Bekrar, CEO và người đứng đầu hoạt động nghiên cứu của Vupen trả lời. "Không ai biết làm thế nào chúng tôi đã vượt qua cơ cấu sandbox của Google Chrome ngoại trừ chúng tôi và khách hàng của chúng tôi, và bất kỳ khẳng định nào cũng chỉ là sự suy đoán thuần túy".