Dat vertelt Jerry Bryant van Microsoft aan Arstechnica.com. Google-onderzoeker Michal Zalewski ontwikkelde medio 2010 een tool waarmee hij meer dan honderd fouten in browsers heeft gevonden.

Eén van die honderd fouten is een gevaarlijk gat in IE van Microsoft. De gegevens waren volgens Zalewski al in handen van hackers en dus besloot hij de details over het lek openbaar te maken.

Bryant erkent dat het probleem al in juli door Zalewski is gemeld bij Microsoft. Met de toenmalige tool kon Microsoft het probleem echter niet reproduceren. Dat er daadwerkelijk een lek was, werd volgens Bryant pas duidelijk toen de Google-onderzoeker eind december met een nieuwe versie van de tool kwam.

Vervolgens zou Microsoft Zalewski expliciet gevraagd hebben om de gegevens niet openbaar te maken. Zalewksi noemt de verklaring van Microsoft onzin. Volgens de onderzoeker is de tool wel veranderd, maar was het probleem al reproduceerbaar in juli en beschikten hackers ook over de details en was het dus onnodig om te wachten met publiceren.

Microsoft vindt dat de onderzoeker met de openbaring het risico voor IE-gebruikers heeft verhoogd omdat cybercriminelen nu gemakkelijk misbruik kunnen maken van het lek voordat Microsoft een patch heeft ontwikkeld, getest en verspreid.

Op dit moment zouden er overigens geen aanvallen worden uitgevoerd via het lek. De volgende update waarbij een patch voor het probleem kan worden vrijgegeven is 11 januari.