Na de ontkenning en een voorzichtige overweging, gaat Microsoft nu toch het ernstige beveiligingslek in Internet Explorer 7 patchen waardoor aanvallers willekeurige code op Windows XP en Server 2003 systemen kunnen uitvoeren. Microsoft laat met nadruk weten dat Windows Vista niet kwetsbaar is.
De discussie over het beveiligingslek loopt al enige tijd, aangezien in juni van dit jaar een soortgelijk probleem ontdekt werd. Microsoft zegt nu dat het toen het probleem had kunnen verhelpen, maar dat sommige applicaties dan niet meer goed zouden werken. Daarom raadde de softwaregigant de ontwikkelaars aan om zelf het probleem op te lossen, aangezien zij hun eigen code het best begrijpen. Aangezien er nu meer gegevens bekend zijn over hoe het lek te misbruiken is, ziet Microsoft in dat het ook actie moet ondernemen.
De softwaregigant wil daarom de URI handling code binnen de ShellExecute() functie aanpassen zodat die niet meer alles toestaat. Volgens Microsoft moet dit alle applicaties tegen misvormde URI's beschermen, toch roept het vendors op om ook hun steentje bij te dragen en te voorkomen dat URI's aan ShellExecute() worden doorgegeven.
Deze posting is gelocked. Reageren is niet meer mogelijk.