Microsoft komt vandaag met een extra patch voor Internet Explorer om een ernstig beveiligingslek te verhelpen.
Updates die uitgebracht worden buiten de patchcyclus om komen niet zo vaak voor bij Microsoft. De laatste keer dat het zijn updatecyclus dit jaar doorbrak, was in oktober voor een serieus Windows-lek.
Ditmaal bevindt de bug zich in Internet Explorers data-bindingfunctionaliteit. Gebruikers van Internet Explorer-versies 7, 6, 5.01 en 8.0 beta 2 lopen risico. Dankzij het lek kunnen aanvallers willekeurige code op de computer uitvoeren terwijl IE crasht. Ook Windows Vista en Windows Server 2008 zijn vatbaar voor het probleem.
Het lek wordt geserveerd door onder meer legitieme sites. Een onderzoeker meldt dat hij al zesduizend websites heeft gevonden die de beveiligingsfout in Internet Explorer uitbuiten. Tevens kunnen aanvallen gelanceerd worden vanuit Outlook Express, omdat HTML-code in die e-mailclient met IE’s engine gerenderd wordt.
Microsoft zal gebruikers van Windows 2000, Windows XP, Windows Vista, Windows Server 2003 en Windows Server 2008 van een patch voorzien voor alle stabiele Internet Explorer-versies. Een aparte patch komt beschikbaar voor bètaversie 8 van de webbrowser. Meer informatie kan in dit bulletin gevonden worden. De patch heeft de beoordeling ‘kritiek’ meegekregen.
3 uur geleden
