De stap om publiek te gaan zou niet uit kwaadwilligheid of wrok zijn, volgens een recente blogpost van Dustin Childs, senior veiligheidsontwikkelaar van HP. “Microsoft heeft bevestigd dat ze niet van plan zijn actie te ondernemen op basis van ons onderzoek. Hierdoor voelden we ons verplicht om deze informatie publiek te maken. We doen dit in overeenkomst met de termen van ons ZDI vulnerability-disclosure programma.”
Eerder dit jaar ontving het team van HP nog een prijs van 125.000 dollar van Microsoft voor het vinden van deze bug. De bug laat een aanvaller toe de Address Space Layout Randomization (ASLR) te omzeilen, één van de vele verdedigingslinies van Internet Explorer.
Microsofts belangrijkste reden om geen patch te creëren voor dit probleem, is het feit dat het probleem zich enkel voordoet bij 32-bit systemen. Volgens HP zou dit echter nog steeds gebruikt worden door miljoenen gebruikers.
“We zijn het niet eens met het standpunt van Microsoft en maken daarom ons proof-of-concept (POC) document publiek. We zijn van mening dat ongeruste gebruikers zo volledig mogelijk geïnformeerd moeten worden over dit probleem, zodat ze actie kunnen ondernemen indien ze dit wensen.” Schrijft Childs in zijn post.
