De kwetsbaarheid in Internet Explorer en Visual Studio die Microsoft eerder deze maand pareerde met een 'kill bit' voor het Windows-register, is te danken aan een tikfout.

Dat een tikfout verantwoordelijk was voor het probleem, werd eerder al gesuggereerd door twee Duitse beveiligingsexperts. Microsoft heeft dat nu ook bevestigd.

De kwetsbaarheid school in de ActiveX control MSVidCtl, die voor video streaming bedoeld is. MSVidCtl was ontwikkeld op basis van een bestaande codebibliotheek die luistert naar de naam Active Template Library (ATL). In de functie ‘ATL::CComVariant::ReadFromStream’ zwierf een ampersand (het &-teken) rond die daar niets te zoeken had. Dat werd bij het ombouwen van de code naar een ActiveX-control niet opgemerkt. Een foutje met grote gevolgen: het gaf hackers de mogelijkheid het geheugen te corrumperen, en daarmee code binnen te smokkelen. 

Het probleem is moeilijk volledig op te lossen, doordat de ATL-code ook onderdeel was van Visual Studio. Toepassingen die deze functionaliteit gebruikt hebben, blijven daardoor kwetsbaar totdat ze gehercompileerd zijn met een aangepaste codebibliotheek.

Beveiligers denken ook dat het tikfoutje ook op andere manieren te exploiteren valt, en dat het inactiveren van de ActiveX-control met een kill bit die de kwetsbare ActiveX control moet inactiveren niet volstaat. Microsoft heeft inmiddels wel een update van Internet Explorer uitgebracht die het misbruiken van ATL-fouten in ActiveX-controls moet voorkomen.