Kritiek op traag patchen door Microsoft

Al snel rezen er vermoedens dat het lek al oud was, onder andere vanwege het nummer van het probleem in de publiek toegankelijke lijst Common Vulnerabilities and Exposures die wordt bijgehouden door het Amerikaanse ministerie van binnenlandse veiligheid en Mitre Corp. Dat nummer wees op een eerste melding begin 2008.

Directeur Mike Reavy van Microsofts Security Response Center heeft nu bevestigd dat Microsoft inderdaad al begin 2008 op de hoogte was. Dat kwam Microsoft meteen op een schrobbering van John Pescatore van Gartner te staan. “Dat is gewoonweg niet acceptabel. Het hoeft geen jaar te duren, voor een bedrijf met de omvang van Microsoft”, zei Pescatore tegen Amerikaanse media.

Reavy vindt zelf ook dat het oplossen van dit probleem langer duurt dan normaal. Waarom het zo lang moet duren, wil hij niet toelichten. Wel is duidelijk dat er vooralsnog geen patch komt. Microsoft publiceert morgen in zijn maandelijkse patchronde wel een voorlopige oplossing, die vorige week al als handmatige optie beschikbaar werd gesteld. Daarmee worden 45 'kill bits' geïnstalleerd in het register om de betrokken ActiveX-besturingselementen - die niet bedoeld waren voor gebruik in Internet Explorer - uit te schakelen.