Het bedrijf gaf deze uitleg nadat het werd gevraagd waarom een ActiveX control, onder andere gebruikt door Yahoo's muziekservice, werd geblokkeerd na het uitvoeren van een beveiligingsupdate.

Tim Rains, een woordvoerder van het Microsoft Security Response Center (MSRC) legt uit. "Wanneer een onafhankelijke softwareontwikkelaar ontdekt dat ze een kwetsbare [ActiveX] control hebben uitgebracht, dan kunnen ze een e-mail sturen naar [email protected] Vervolgens wordt er in samenwerking met dit bedrijf een 'kill bit' vervaardigd die deze control uitschakelt," aldus Rains in Computerworld.

Symptoombestrijding

Microsoft had acht beveiligingsupdates uitgebracht, waarvan eentje een kill bit bevatte voor de Yahoo Music Jukebox. Het draaien van een dergelijke update zorgt voor een aanpassing in het Register van Windows, waardoor de ActiveX control wordt uitgeschakeld. Het is wat dat betreft slechts symptoombestrijding, want het probleem wordt niet verholpen en alleen de control zal niet meer functioneren.

Niet voor het eerst

Volgens Rains is het niet voor het eerst dat Microsoft ActiveX controls uitschakelt, maar wel dat het op een dergelijke manier gebeurt: "Microsoft heeft een beveiligingsupdate uitgebracht die specifiek kill bits bevat voor deze ActiveX controls omdat dit de gebruiker ten goede komt. Het werkt beter dan de cumulatieve updates voor Internet Explorer, die normaliter werden gebruikt voor het distribueren van ActiveX kill bits."

"Het is voor het eerst dat MSRC ActiveX kill bits heeft samengebracht in een aparte beveiligingsupdate. Op deze manier kunnen klanten kwetsbaarheden die gerelateerd zijn aan ActiveX controls zeer gericht aanpakken, zonder een nieuwe update voor Internet Explorer te moeten installeren".

Op verzoek van Yahoo

Rains liet eveneens weten dat de Yahoo ActiveX control specifiek op verzoek van Yahoo is uitgeschakeld: "Yahoo heeft ons rechtstreeks benaderd met het verzoek een kill bit uit te brengen voor Yahoo's Music Jukebox."

In februari had een onderzoeker ontdekt dat er een aantal kwetsbaarheden zaten in een aantal ActiveX controls die door de Music Jukebox gebruikt werden.

Inmiddels heeft het bedrijf de fouten echter verholpen met behulp van een patch, hetgeen vraagtekens zet bij de update van Microsoft. Yahoo heeft nog niet gereageerd op de vraag waarom het Microsoft heeft gevraagd een kill bit uit te brengen voor een kwetsbaarheid die al verholpen had moeten zijn.