Stellungnahme zur Sicherheitslücke im MSIE 7

Die Veröffentlichung des Internet Explorer 7 steht unter keinem guten Stern: Nur wenige Stunden später berichtete alle Welt von einer Sicherheitslücke in Microsofts neuestem Browser. Der Softwaregigant beteuert nun, dass das Problem gar nicht im Internet Explorer 7, sondern in Outlook Express stecke.

Durch die enge Verzahnung von Internet Explorer und Outlook Express lässt sich diese Sicherheitslücke jedoch über den Internet Explorer ausnutzen und in der Wirkung ist es letztendlich irrelevant, in welcher Systemkomponente die Sicherheitslücke steckt. Was Microsoft nicht an die große Glocke hängt ist, dass diese Sicherheitslücke schon im April 2006 bekannt war und sich auch im Internet Explorer 6.0 ausnutzen lässt.

Denn am 27. April 2006 veröffentlichte Secunia ein Security Advisory, das genau diese Sicherheitslücke beschreibt – es handelt sich also tatsächlich nicht um ein neues Problem. Andererseits hat es sich Microsoft erlaubt, das Problem ein halbes Jahr lang zu ignorieren und seine Kunden somit erneut unnötig einem Risiko ausgesetzt – und nicht zuletzt für schlechte PR bei Veröffentlichung des Internet Explorer 7 gesorgt.

Im Security Response Center Blog beteuert Microsoft nun, dass man sich dem Problem annehmen werde. Warum man dies nicht bereits viel eher getan hat, wird verschwiegen. Es seien noch keine Fälle bekannt, in denen diese Sicherheitslücke ausgenutzt wird.