Nog geen patch voor ernstig lek in IE8

Microsoft heeft het bestaan van de kwetsbaarheid vrijdagnacht toegegeven in een beveiligingsbulletin. Volgens het bedrijf hebben andere versies van de webbrowser, waaronder de nieuwere releases IE9 en IE10, geen last van het probleem. IE8 is echter de meest gebruikte versie van Microsofts browser.

Niet bekend wanneer de patch beschikbaar komt

In het bulletin zegt Microsoft niet wanneer de toegezegde patch beschikbaar komt. Microsoft verspreidt zijn security bulletins volgens een vast schema telkens op de tweede dinsdag van de maand. De eerstvolgende patchronde is op 14 mei.

Beveiligingsbedrijf Invincea meldde het nieuwe lek als eerste, gevolgd door FireEye. Beide firma's concludeerden dat het om een 'zero-day'-lek gaat - een zwakke plek waarvoor nog geen patch bestaat - en dat in het bijzonder gebruikers van IE8 op Windows 7 kwetsbaar zijn. Een succesvolle aanval leidt ertoe dat de aanvaller willekeurige programmacode op de getroffen pc kan uitvoeren.

Malware geplaatst op veel bezochte sites

Experts spreken van 'drinkplaats'-aanvallen (watering hole attacks) omdat de aanvallers malware plaatsen op websites die regelmatig door hun beoogde slachtoffers worden bezocht. Hun doel is pc's van (Amerikaanse) overheidsfunctionarissen te besmetten met Poison Ivy. Dit is een zogeheten remote administration tool (RAT) dat heimelijk vertrouwelijke informatie op overheids- en bedrijfsnetwerken verzamelt. De aanvallen van vorige week zouden grote gelijkenis vertonen met die van Chinese hackers in 2012.

Microsoft drukt intussen gebruikers van Windows 7 op het hart om op te waarderen van IE8 naar IE10. Wie nog met Windows Vista werkt, doet er goed aan op IE9 over te stappen. Het nog steeds grote legioen Windows XP-gebruikers heeft deze mogelijkheid niet omdat dit besturingssysteem de nieuwe browsers niet ondersteunt.