Über die kürzlich bekannt gewordene gefährliche Sicherheitslücke in einem ActiveX-Modul des Internet Explorer wurde Microsoft schon vor einem Jahr informiert - und schwieg. Angreifer können diese Lücke ausnutzen, um die Kontrolle über Rechner von ahnungslosen Nutzern zu erlangen. Inzwischen lauern bereits auf tausenden Internetseiten Schädlinge auf Opfer, die Windows XP oder Server 2003 nutzen.

Christopher Budd vom Microsoft Response Center hat jetzt Berichte bestätigt, wonach das Unternehmen bereits vor rund einem Jahr von Sicherheitsexperten über die Schwachstelle informiert wurde. Doch erst jetzt hat Microsoft eine Warnung herausgegeben und empfiehlt den Nutzern, das ActiveX-Control zu deaktivieren.

Was der Hacker nicht weiß, ...

Warum sich Microsoft so lange Zeit ließ, bevor es Alarm schlug, wollte Budd nicht sagen. Es ist allerdings bekannt, dass das Unternehmen gewöhnlich erst über Sicherheitslücken informiert, wenn auch ein Patch zum Beheben des Problems zur Verfügung steht. Das Argument: Was der Hacker nicht weiß, macht ihn nicht heiß. Diesmal dauerte es aber offenbar sogar dem US-Software-Riesen zu lange, denn an einem Patch wird immer noch gearbeitet. Die Deaktivierung des ActiveX-Controls ist nur eine Notlösung. Immerhin stellt Microsoft dafür ein Tool zur Verfügung.