"Irgendwo in meinem Blog habe ich Proof-of-Concept-Code versteckt, der diese Zero-Day-Schwachstelle ausnutzt", schreibt Raff in einem Posting. Eine Zero-Day-Lücke bezeichnet einen bereits veröffentlichten, jedoch noch nicht gepatchten Softwarefehler.

Der Bug, der den IE 7 und 8 betrifft, soll es Angreifern ermöglichen, unautorisiert Software auf dem Opfersystem zur Ausführung zu bringen. Raff will Microsoft bereits über das Browser-Leck informiert haben - ihm zufolge steht derzeit noch kein Patch zur Verfügung.

Grundsätzlich sind Sicherheitsexperten dazu angehalten, eine Schwachstelle erst dann publik zu machen, wenn vom Hersteller ein Patch zur Verfügung steht. Raff befürchtet jedoch, dass sich Microsoft mit der Beseitigung der Lücke zu viel Zeit lassen würde, wenn er damit nicht an die Öffentlichkeit gegangen wäre. Das letzte Mal, als er sich an die "Responsible Disclosure Guideline" des Softwarekonzerns gehalten habe, habe Microsoft sechs Monate gebraucht, um eine Zeile Code zu korrigieren, so der Security-Forscher.

Anlässlich des sechzigsten Jahrestages der Staatsgründung Israels beziehungsweise in Anlehnung an das am israelischen Unabhängigkeitstag gebräuchliche Spiel "Schatzsuche" hat Raff den Code auf seiner eigenen Web-Seite versteckt. In den kommenden Tagen will er "Zero-Day-Schatzsucher" mit weiteren Hinweisen auf den Fehler versorgen. Am kommenden Mittwoch sollen Bug und Proof-of-Concept-Code dann im Detail veröffentlicht werden. (kf)