Schwachstelle seit längerem bekannt

Wie das Nachrichtenportal Techworld berichtet, ist das Wissen um die Lücke allerdings nicht gerade neu. Der Bug im Explorer sei bei Microsoft intern bereits seit mehr als einem Jahr bekannt. Auch Mike Reavey, Leiter von Microsofts Security Response Center (MSRC), räumte ein, dass das Unternehmen schon im Frühjahr 2008 von der Schwachstelle in ActiveX erfuhr. Warum es allerdings bis jetzt dauerte, sich der Lücke anzunehmen uns sie zu schließen, ließ Microsoft offen. Ryan Smith, ein Fachmann der Security-Firma Verisign, vermutet, der Bug sei derart einzigartig und komplex, dass selbst ein Unternehmen wie Microsoft länger benötigt habe, um eine Lösung zu finden.

Auch der am Dienstag zu erwartende Patch wird demzufolge nur eine Interimslösung bieten. Mithilfe von Kill-Bits soll die betreffende ActiveX-Routine in der Windows-Registry einfach deaktiviert werden, bis es eine andere Lösung gibt. Wann ein »richtiger« Patch herauskommt, der die Schwachstellen eliminiert, teilte Reavey nicht mit. Neben dem Internet Explorer 6 weist auch Version 7 des Browsers die Lücke auf. Die aktuelle Version IE 8 ist nicht betroffen. Ebenfalls sicher sind die Betriebssysteme Windows Vista und Windows Server 2008. Gefährdet sind dagegen sind Rechner, auf denen Windows XP oder eine ältere Windows-Version läuft.