Topman Bill Gates verdedigt de werkwijze van zijn bedrijf om het onlangs gevonden lek in IIS tegen te gaan, zo lezen we op SecurityFocus. Het lek werd door Russische criminelen gebruikt om met behulp van geïnfecteerde websites een trojan te installeren op de computers van nietsvermoedende thuisgebruikers. Deze trojan ontfutselde hen bankwachtwoorden en creditcardnummers en stuurde deze terug naar de criminele organisatie. Om dit te kunnen doen maakte men, behalve van een lekkend IIS, ook gebruik van een tweetal gaten in Internet Explorer. Deze openingen werden al op zes juni ontdekt, maar zijn volgens Symantec nog niet door Microsoft gepatcht.
Ook werd er gebruik gemaakt van een controversiële feature van de browser, die lokale HTML-documenten toestaat om bestanden op de computer te veranderen of te overschrijven. Al in augustus waarschuwden veiligheidsexperts ervoor dat deze optie gevaarlijk kon zijn wanneer zij in combinatie met veiligheidslekken in de browser misbruikt kan worden. In een toespraak wees Gates erop dat de hier gebruikte gaten al binnen twee dagen gepatcht waren.
Hij wees erop dat in april al patches voor IIS waren te vinden, die deze aanval hadden kunnen voorkomen als websitebeheerders deze op tijd hadden geïnstalleerd. Ondanks het feit dat de softwaregigant blijkbaar in staat is om snel actie te ondernemen, wilde Gates zich niet laten vastleggen aan een bepaalde tijd waarin een lek gedicht zou moeten zijn. Hij zei wel dat de patchtijd zal blijven dalen. Als laatste commentaar gaf Gates het publiek mee dat het voor de veiligheid van de users van belang is dat zijn bedrijf deze gebruikers ervan overtuigt dat zij hun veiligheidsupdates automatisch moeten laten verlopen.