Wußte Microsoft von der Zero-Day-Lücke in IE schon seit Juli?

Microsoft hat erst nach dem Bekanntwerden des Zero-Day-Lochs  im Internet Explorer reagiert und einen Blocker veröffentlicht. Drei Tage später folgte der echte Patch: Im Advisory MS12-063  bedankte sich Microsoft bei einem anonymen Sicherheitsforscher, der an Tipping Points Zero-Day-Initiative teilgenommen hatte.

Eric Romang, der Mitte September den Bug entdeckte, schrieb am Samstag in seinem Blog, er sei überrascht, dass Microsoft die Tipping-Point-Initiative nennt und nicht ihn selbst. Er bezweifelt mehrere Sicherheitsmeldungen von Microsoft, die allesamt auf “anonyme” Meldungen zurückgehen würden.

Romang rechnet anhand mehrerer Beispiele vor, dass Microsoft viele Lücken bereits zuvor gekannt haben müsse – oder noch schlimmer, Redmond sogar die Hackergruppe hinter dem Exploit bekannt gewesen sein müsse. Er geht sogar so weit, zu behaupten, dass in diesem Fall nicht auszuschließen sei, dass eine undichte Stelle bei ZDI – HPs Zero-Day-Initiative – vorliege. Das liege gar nicht so fern, denn viele Angestellte hätten ZDI kürzlich verlassen.

Doch generell muss Microsoft laut Romang schon viel früher gewusst haben, dass eine neu Lücke im Internet Explorer bekannt ist – denn so schnell wie diesmal hätte Redmond noch nie reagiert.