Egy az Internet Explorer böngészőn keresztül kihasználható kritikus sebezhetőségről már több mint másfél éve tudott a Microsoft, mégsem javította azt. Legalábbis ezt állítja a NetworkWorld (NW) online magazin, amely kiderítette, hogy a szóban forgó, a nagyközönség számára csak a napokban ismertté vált sérülékenységet felfedezői már valószínűleg 2007 végén jelentették Redmondnak.

Az egyébként a Microsoft által is megerősítettek szerint már egy hónapja aktívan kihasznált sebezhetőséget két olyan szakember fedezte fel és jelentette be, akik korábban az ISS X-Force-nál együtt dolgoztak. Bár a NW megkeresésére az illetők - Ryan Smith és Alex Wheeler - titoktartási szerződésekre hivatkozva nem voltak hajlandóak a hiba felfedezésének és bejelentésének időpontját megerősíteni, annyit azért elárultak, hogy minderre még valóban akkor került sor, amikor közös munkahellyel bírtak.

Miután egyikük munkaviszonya az IBM biztonsági részlegével már tavaly év elején megszűnt, és azóta útjaik szétváltak, így a jelek szerint ezt megelőzően: azaz legalább másfél évvel ezelőtt került sor a hiba felfedezésére részükről, amit nem sokkal később a Microsofttal is tudattak. Ezt látszik megerősíteni az a tény is, hogy a sebezhetőségek de-facto központi nyilvántartását képző CVE (Common Vulnerabilities and Exposures) adatbázisban a sérülékenységhez tartozó számot - amelyet a Microsoft is szerepeltetett saját biztonsági értesítőjében a hiba leírása mellett - még 2007. decemberének első felében osztották ki.

Mindezek alapján szinte biztosra vehető, hogy a sebezhetőség tényéről Redmondot a két szakember már közel másfél évvel ezelőtt informálta, ahol azonban az elmúlt 18 hónapban sem sikerült odáig eljutniuk, hogy a hibát kijavítsák. A probléma súlyosságát növeli, hogy a sebezhetőséget a jelentések szerint már közel egy hónapja - idén június elejétől - aktívan kihasználták egyes weblapokon, és ennek kivédésére a felhasználóknak nyilvánvalóan esélyük sem volt, még olyan elkerülő megoldásokkal sem, mint amilyeneket a Microsoft által a napokban kiadott átmeneti folt alkalmaz.

Azt egyébként, hogy Redmond mikor fog végleges foltot megjelentetni az igen súlyos sebezhetőségre, még most sem lehet tudni. A következő szokásos havi frissítésgyűjtemény július 14-én fog megjelenni, de jelenleg kérdéses, hogy abban szerepelni fog -e az egyébként a Microsoft videólejátszó komponense által az Internet Exploreren ütött biztonsági rést véglegesen lezáró folt is.