Die aktuelle Schwachstelle in Microsofts Browsern IE6 und IE7, über gestern berichtet worden war und die bereits von Hackern genutzt wird, ist vermutlich Ende 2007 oder Anfang 2008 an den Konzern gemeldet worden. In der offiziellen Stellungnahme hatte sich Microsoft auf die Sicherheitsexperten Ryan Smith und Alex Wheeler berufen, von denen die Lücke entdeckt worden war. Beide haben bei IBMs ISS X-Force gearbeitet, Wheeler ist inzwischen in 3Coms TippingPoint DVLabs beschäftigt. Gegenüber der CW-Schwesterpublikation "Computerworld" bestätigte er, dass beide die Schwachstelle entdeckt hätten, wobei Smith den Großteil der Arbeit geleistet haben soll.

Wann der Bug an Microsoft berichtet worden sei, wollte Wheeler nicht sagen. Diesbezüglich berief er sich auf ein Non-Disclosure-Agreement. Allerdings gab er an, vor seiner Anstellung als Research-Manager der DVLabs von TippingPoint an der Sache gearbeitet zu haben. Wheeler übernahm den Posten bei TippingPoint im Januar 2008. Die CVE-Nummer (Common Vulnerabilities and Exposures) - CVE-2008-15 - der Schwachstelle deutet auf ein Veröffentlichungsdatum Anfang 2008 hin. Reserviert wurde die Nummer am 13. Dezember 2007.

Die ISS X-Force konnte gegenüber der "Computerworld" kein Datum der Veröffentlichung nennen. Allerdings gaben die Sicherheitsspezialisten an, dass die Schwachstelle seit mindestens einem Monat aktiv angegriffen wird. Microsoft äußerte sich gegenüber der Zeitung nicht, wann die Schwachstelle gemeldet wurde und warum es so lange bis zur ersten Reaktion dauerte. Der Konzern hatte gestern einen kleinen Interims-Patch veröffentlicht. Wann der echte Flicken erscheinen wird, ist nicht klar.