Das Team 'Security Research' von HP hat ein Sicherheitsleck im Internet Explorer öffentlich gemacht, nachdem Microsoft ihm laut eigener Aussage mitgeteilt habe, man beabsichtige nicht, die Lücke zu schliessen. Betroffen sei vor allem die 32-bit-Version des Browsers.

HP hat Microsoft 2014 über die Lücke informiert und dafür eine Belohnung von 125'000 Dollar ausgezahlt bekommen. Nach Ablauf der vereinbarten Schweigepflicht von 120 Tagen habe Microsoft aber nichts unternommen, weshalb sich HP zur Veröffentlichung entschieden hat. Befristete Schweigepflichten sind in der Branche üblich, um dem betroffenen Hersteller genügend Zeit zu geben, die Lücke zu schliessen.

Microsoft begründet sein Vorgehen damit, dass die 64-bit-Version des Internet Explorers deutlich weniger anfällig sei als die 32-bit-Version. Ausserdem habe ein letzten Sommer veröffentlichter Patch die Missbrauchsrate deutlich gesenkt.

Für Nutzer zu beachten ist dabei, dass auch auf 64-bit-Systemen standardmässig die 32-bit-Version von Internet Explorer installiert ist. Betroffene sollten daher auf die 64-bit-Version umrüsten oder den Browser wechseln.

In einem White Paper beschreibt HP das Sicherheitsleck genauer. (mik)