In de laatste zes maanden van vorig jaar werden 239 beveiligingslekken in browser-plugins gevonden, waarvan het in 79% van de gevallen om ActiveX-gerelateerde lekken ging. De technologie is zeer geliefd bij computercriminelen en inmiddels maken tal van hacker-toolkits misbruik van ActiveX kwetsbaarheden. Tijdens de afgelopen patchdinsdag schakelde Microsoft een lek ActiveX control van Yahoo! op verzoek uit. Een primeur aangezien de softwaregigant dit nog nooit eerder heeft gedaan, maar in de toekomst mogelijk wel vaker gaat doen.

"Als een onafhankelijke software vendor ontdekt dat ze een lek ActiveX control aanbieden, moeten ze Microsoft een e-mail sturen om een kill-bit uit te laten vaardigen die het control uitschakelt," aldus Tim Rains van het Microsoft Security Response Center (MSRC). "Het is de eerste keer dat het MSRC een ActiveX kill-bit in een aparte security update aanbiedt." Het grote voordeel is dat klanten op deze manier geen generieke Internet Explorer update moeten installeren, maar alleen een beveiligingsupdate als ze over de kwetsbare software beschikken.

Yahoo! zou Microsoft zelf benaderd hebben om de kill-bit in te stellen, hoewel het bedrijf niet wilde zeggen waarom. Het lek in de Yahoo! Music Jukebox wordt sinds zes februari actief door cybercriminelen misbruikt om slachtoffers te infecteren.