Da Microsoft schon seit Monaten mit der Veröffentlichung eines Patches zur Behebung der kritischen URI-Lücke in der Windows XP-Version von IE7 zuwartet, hat nun KJK::Hyperion einen inoffiziellen Patch gebastelt, der sich an den ShellExecute()-Syscall klemmt und versucht, schädliche URIs auszufiltern, bevor sie an ShellExecute() übergeben werden. Freilich ist immer noch unklar, warum Microsoft das Verhalten des XP-Syscalls bei der Installation von IE7 überhaupt verändert hat.
Seitens Microsoft wurde die Existenz dieser Lücke vielerorts dementiert oder die Verantwortung auf die Programmierer der Anwendungssoftware abgeschoben. Erst nachdem bekannt wurde, dass auch Outlook davon betroffen ist und als Angriffsvektor missbraucht werden kann, wird reagiert. Vermutlich lässt der offizielle Patch aber mindestens bis zum November-Patchday auf sich warten.
Der inoffizielle Patch ist laut KJK::Hyperion aber noch nicht ausgiebig getestet, so dass von einer Installation momentan noch abgeraten werden muss. Die Chancen stehen aber gut, dass der OpenSource-Patch bald verbessert wird.
