Auf der Seite http://browserfun.blogspot.com/ wurden einen Monat lang jeden Tag Bugs in Browsern vorgestellt, die den Browser entweder zum Absturz bringen sollten oder die sogar zum Einschleusen von Code nutzbar sein sollten. Die meisten davon waren Bugs im IE6.
Ich habe alle IE6 Bugs im Internet Explorer 7+ unter Vista 5472 getestet. Keiner davon hat bei mir funktioniert, d.h. mein Browser ist kein einziges Mal abgestürzt und es wurde auch kein fremder Code eingeschleust. Bei Exploits/Bugs bei denen man eine ActiveX Installation bestätigen musste habe ich diese nicht bestätigt (wenn jemand freiwillig fremden Code installiert ist das schließlich kein Bug, sonst wäre sogar die Möglichkeit Programme mit einem Browser herunterladen zu können genauso ein Bug).
Angenommen einer der Bugs hätte funktioniert, hätte der eingeschleuste Code auch dank UAC keine Administratorrechte bekommen. Er hätte nicht mal mit meinen normalen Benutzerrechten arbeiten können, denn der IE7+ läuft auf Vista im "Protected Mode".
Da keiner der Bugs aus dem "Month of the browser bug"-Test im IE7 funktioniert hat, habe ich als nächstes die Bugs im Heise Browsercheck getestet. Auch von diesen Sicherheitslücken hat keine im IE7 "funktioniert".
Sicher wird es auch für den IE7+ (wie für jede Software) früher oder später Sicherheitslücken geben. Das lässt sich einfach in der Softwareentwicklung nicht vermeiden. Sicher ist aber auch, dass der IE7 bisher deutlich sicherer ist als alle Internet Explorer Versionen davor. Außerdem werden die Möglichkeiten die ein Angreifer hat, wenn er denn eine Sicherheitslücke findet, durch "Protected Mode" und UAC deutlich reduziert. Es mag einige Gründe geben, andere Browser zu verwenden, Sicherheit gehört beim neuen Internet Explorer aber bisher nicht dazu.