Microsoft har ikke tænkt sig at lukke en Internet Explorer-sårbarhed i Address Space Layout Randomization (ASLR)-teknologien, der skal sikre IE-brugere mod angreb.
Det skriver sikkerhedsforskere fra HP Security Research i et blogindlæg.
Det var dem, der oprindeligt opdagede sårbarheden, og det har også fået en dusør på 125.000 dollars for af Microsoft.
Alligevel ser det ikke ud til, at Microsoft har tænkt sig at udsende en patch:
"At frigive informationer på dette niveau er ikke noget, vi normalt gør og heller ikke noget, vi tager let på. Og for at gøre det helt klart, så gør vi det ikke med onde hensigter. Vi ville foretrække at først at frigive disse informationer, når sårbarheden er lappet," skriver HP.
"Men da Microsoft har bekræftet, at man ikke har tænkt sig at handle på baggrund af denne research, føler vi, at det er nødvendigt at give denne information til offentligheden," skriver selskabet, der normalt er en tæt Microsoft-allieret, videre.
Læs også: Sådan bliver den nye Edge-browser proppet med avanceret sikkerhedsteknologi
Sårbarheden gør det muligt for angribere at slippe forbi ASLR i IE. HP har demonstreret, hvordan det vil kunne lade sig gøre på Windows 7 og 8.1-maskiner med Internet Explorer.
Microsofts beslutning om ikke at tilbyde en opdatering, der kan lukke den sårbarhed, HP peger på, bunder formentlig i, at Microsoft har vurderet, at den konkrete sårbarhed udgør en begrænset trussel.
HP's folk er imidlerltid af en anden opfattelse, og det er årsagen til den noget usædvanlige udmelding:
"Vi er uenige i holdningen, og frigiver PoC ( proof-of-concept, red.)-information i troen på, at bekymrede brugere skal være så informerede som muligt for at kunne træffe de beslutninger, som de finder passende for deres egne installationer," lyder det på HP-bloggen.
IE på vej ud - Edge på vej ind
Microsoft annoncerede tidligere i år, at selskabet tager livet af Internet Explorer ved at udfase den aldrende browser.
I stedet satser Microsoft på den nye Edge-browser, hvor sikkerhed i øvrigt er et centralt omdrejningspunkt.
Læs også: Internet Explorer er død - og det er nok bedst for alle parter
Du kan se HP's detaljer om sårbarheden i IE her.
I videoen herunder viser HP, hvordan IE-sårbarheden kan udnyttes af kriminelle:
Læs også:
Sådan bliver den nye Edge-browser proppet med avanceret sikkerhedsteknologi
Internet Explorer er død - og det er nok bedst for alle parter
