'Microsoft wist al anderhalf jaar van lek in Direct-X'

Het Amerikaanse Computerworld meldt dat Microsoft al sinds begin 2008 van het lek geweten moet hebben. Het blad heeft daarvoor twee aanwijzingen. De eerste is het CVE-nummer, het nummer in de publiek toegankelijke lijst Common Vulnerabilities and Exposures die wordt bijgehouden door het Amerikaanse ministerie van binnenlandse veiligheid en Mitre Corp. De aanduiding 2008-15 duidt op een rapportagedatum begin 2008 of eind 2007: het nummer 2008-15 is al op 13 december 2007 uitgegeven.

De tweede aanwijzing vond Computerworld in een gesprek met één van de personen die Microsoft als ontdekker bedankt in zijn waarschuwing, Alex Wheeler. Wheeler wilde niet zeggen wanneer de bug aan Microsoft werd gemeld, omdat hij zich contractueel verplicht heeft geen informatie te geven. Maar hij merkte wel op dat hij aan het opsporen van de bug werkte toen hij nog in dienst was bij zijn vorige werkgever, ISS X-Force. Wheeler maakte in januari 2008 de overstap naar zijn huidige werkgever, Tipping Point.

ISS X-Force was niet bereikbaar voor commentaar; wel merkte het bedrijf in zijn eigen beveiligingsadvies over deze kwestie op, dat hackers al minstens sinds begin juni van dit jaar proberen dit lek voor hun doeleinden te gebruiken.