IE-Sicherheitslücke: Microsoft wusste schon länger Bescheid – oder doch nicht?

Schwachstelle schon im Juli gemeldet?
Die Sicherheitslücke im Internet Explorer, die letzte Woche bekannt geworden war und am Freitag auch schon gepatcht wurde, war für Microsoft und seine Kunden eine unangenehme Sache. Dennoch hat sie Microsoft unter dem Strich Lob eingebracht, weil von der ersten Meldung bis zur Bereitstellung des offiziellen Updates nur wenige Tage vergingen und dazwischen auch eine temporäre Lösung angeboten wurde.
Diese rasante Reaktion scheint sich jetzt allerdings etwas zu relativieren. Denn es könnte sein, dass Microsoft bereits seit einigen Wochen von der klaffenden Sicherheitslücke wusste.

Den Hinweis darauf liefert Microsoft selbst in seinem Security Bulletin MS12-063 – dort werden Dankesworte an die „Zero Day Initiative“ gerichtet, die den Hinweis auf die Schwachstelle gegeben hat – doch deren letzte Meldung stammt vom Juli 2012. Wusste Microsoft also schon länger Bescheid?

Als weitere Indiz dafür wertet Computerworld die Tatsache, dass der Internet Explorer 10 – Anfang August fertig gestellt – nicht von der Lücke betroffen ist. Wurde der Fix in diese Version noch mit heißer Nadel eingearbeitet?

Der Sicherheitsforscher Eric Romang, der einen Exploit für diese Lücke entdeckt und damit den Stein ins Rollen gebracht hatte, geht in einem Blog-Eintrag sogar noch weiter und behauptet, die Meldung an Microsoft könnte schon mehr als ein Jahr alt sein.

Mir persönlich ist das zu viel Verschwörungstheorie – denn offizielle Informationen hat offensichtlich niemand und die Wahrheit kennen nur Microsoft und der Erstentdecker der Lücke. Von beiden werden wir mit an Sicherheit grenzender Wahrscheinlichkeit keine Stellungnahme dazu hören.

Objektiv können wir als Nutzer nur die Zeit messen, die von der Öffentlichmachung einer Schwachstelle bis zu deren Beseitigung vergeht. Und die war in diesem Fall lobenswert kurz.
Und ich mag nicht glauben, dass das nur deshalb so schnell ging, weil Microsoft nur noch den fertigen Patch aus der Schublade ziehen musste. Welchen Grund sollten sie denn haben, das zu vertrödeln?