Beveiligingsonderzoeker Tom Ferris beweert dat hij na een kwartier testen met de publieke preview van Internet Explorer 7 al een potentieel gevaarlijke bug had ontdekt. Een simpele regel HTML blijkt voldoende zijn om de browser te laten crashen, en Ferris vermoedt - noemt het zelfs waarschijnlijk - dat de fout die deze crash veroorzaakt tevens misbruikt kan worden om willekeurige code uit te voeren op het systeem van het slachtoffer. Hoewel het uiteraard te verwachten is dat een bèta-release nog fouten bevat, denkt de onderzoeker toch dat zijn ontdekking wel degelijk iets zegt over Microsofts ontwikkelproces. De bug werd namelijk in zeer korte tijd gevonden door een automatisch testprogramma dat hij zelf heeft geschreven, en bestond nog niet in oudere versies. Er is dus ondanks het gehamer op veiligheid nieuwe code in de browser terechtgekomen die niet eens bestand is tegen een simpele automatisch gegenereerde aanvalshoek.
De conclusies van Ferris zijn wellicht overigens wel wat voorbarig: Microsoft is op de hoogte gesteld van het probleem, maar mogelijk had het bedrijf het risico zelf ook al ontdekt. In november werd bekend dat er nog 20.000 bugs in Internet Explorer 7 en Vista zaten, en het is onmogelijk om te weten of de fout die Ferris heeft gevonden daadwerkelijk door de mazen van het net is heengeglipt, of dat deze simpelweg nog op de planning staat om opgelost te worden. Recent heeft Windows-opperhoofd Jim Allchin verklaard dat er tot de release van Vista (waar Internet Explorer 7 een onderdeel van zal zijn) alleen nog maar aan de kwaliteit gewerkt zou worden, en dat het bedrijf het nieuwe besturingssysteem desnoods nog een keer zal uitstellen als de doelstellingen niet gehaald worden.
Update (16:00): Op hun weblog verklaren de ontwikkelaars van Internet Explorer 7 dat ze inderdaad al bekend waren met het probleem en ook al van plan waren om het op lossen. De fout zou gewoon tijdens de verplichte veiligheidscontrole zijn ontdekt en - behalve de crash - ongevaarlijk zijn. Een nieuwe compilertechniek die buffer overflows herkent zou namelijk moeten voorkomen dat hackers misbruik kunnen maken van dit soort fouten.