Nederlander meldde ActiveX bug al 2,5 jaar geleden

Deze week stond de Nederlandse bugjager Peter Vreugdenhil bij de credits van Microsofts Patch Tuesday. Hij is (mede)verantwoordelijk voor het rapporteren van twee van de lekken die afgelopen dinsdag zijn gedicht in een set ActiveX-controls, de zogenaamde Office Web Components (OWC), waarmee gebruikers documenten online kunnen publiceren, en/of aan kunnen roepen met de browser.

Slordig

Vreugdenhil kan er maar moeilijk bij dat Microsoft er zo lang over heeft gedaan om het gat te dichten, vertelt hij in een uitgebreid interview met onze zustersite Techworld.nl. "Ik heb het ze gevraagd, ik heb ook de juiste persoon gesproken, maar die kon het mij niet vertellen", aldus Vreugdenhil. "Hij kon alleen zeggen dat er twee mogelijkheden zijn. Of het is er doorheen geglipt, iemand had het opgepakt maar niet afgemaakt of zoiets, of het is een gat dat meer raakt dan alleen Office. Maar als ik naar de patches kijk, dan viel dat ook wel mee. Ik denk dus dat ze slordig zijn geweest."

Twee weken terug verscheen er een exploit van de bug op het Milw0rm-forum, en pas daarna heeft Microsoft het gat gedicht. "Het is een beetje raar dat Microsoft pas een patch uitbrengt als er een exploit is opgedoken. Milw0rm is meestal niet de eerste, maar we kunnen niet echt zeggen of het lek ook actief werd uitgebuit."

860 dagen lek

Vreugdenhil kan na twee en een half jaar ook maar weinig begrip opbrengen. "Als je door de code van Microsoft wroet, dan zie je ook wel dat het heel complex is. Maar zelf zeggen ze dat ze het binnen honderd dagen willen doen, en dan is die bijna 860 dagen van nu een behoorlijke uitschieter."

Alhoewel Active X niet meer de gatenkaas is van voorheen, stelt Vreugdenhil dat Microsoft er verstandig aan doet om Active X in een sandbox te stoppen, zodat toekomstige exploits minder kwaad kunnen.