Microsoft patcht IE-lek vanavond
Gepubliceerd: Woensdag 17 december 2008
Auteur: Michiel van Blommestein
Microsoft heeft definitief besloten een patch buiten de normale cyclus om uit te geven voor het kritieke lek in Internet Explorer. De patch komt woensdagavond rond zeven uur Nederlandse tijd beschikbaar.
De pleister geldt voor alle nog ondersteunde versies van IE op de verschillende platformen. Na het aanbrengen van een patch is het wellicht nodig om het systeem te herstarten, zo staat in het securitybericht dat dinsdagavond is uitgegeven. De melding kwam te laat om meegenomen te worden met de Patch Tuesday van deze maand, en het gaat dan ook om een 'out-of-band' patch.
Het lek kwam vorige week in de publiciteit nadat in China een exploit was aangetroffen die misbruik maakt van een fout in de omgang met xml. Daarmee kon een trojan naar binnen worden gesmokkeld wanneer een slachtoffer naar een kwaadaardige site werd gelokt. Tot overmaat van ramp hebben de onderzoekers de exploit zelf ook naar buiten gebracht, waarmee de code op straat lag. Microsoft kreeg kort daarna een stroom van meldingen binnen van aanvallen via legitieme websites. Het gevaar kan met workarounds worden beperkt.
De tussentijdse patch, een middel waar Microsoft bij uitzondering naar grijpt, is de tweede in korte tijd. Eind oktober dichtte Redmond een lek in de remote procedure call (RPC), waardoor wormen hun slag konden slaan.
Bron: Techworld
