Sikkerhedsfirmaet Determina gjorde Microsoft opmærksom på sårbarheden omkring en animeret cursor i december. Tre måneder senere er Microsoft på vej med en opdatering, efter ondsindede personer udnyttede fejlen i sidste uge.
En liste over almindelige sårbardheder og blotlæggelser ("common vulnerabilities and exposures" - forkortet CVE) viser da også, at Microsoft reserverede CVE-2007-0038 den 3. januar.
Dette underbygges af Determinas egne sider, hvor de beskriver en række sårbarheder, de gjorde Microsoft opmærksomme på, men ikke offentliggjorde, fordi det kunne føre til, at ondsindede personer udnyttede sårbarhederne.
Ikke desto mindre gik der omkring tre måneder og 16 bulletiner, uden at Microsoft informerede om sårbarheden eller fik den lukket.
En talsmand bekræfter, at Determina på ansvarlig vis oplyste detaljer om fejlen sidste år: »Vi har arbejdet sammen med Determina siden deres rapport i december for at undersøge sagen og udvikle en omfattende opdatering.«
Microsoft forklarer den sene opdatering med, at det er en omfattende og tidskrævende proces med mange faktorer, før man kan udgive en sikkerhedsopdatering.
Nyhedssiden ZD Net vurderer, at omkring 150 websites i mellemtiden er blevet inficeret af ondsindet kode, der forsøger at udnytte fejlen.
