Het zero-day gat in Internet Explorer versies 6, 7 en 8 is bewezen misbruikt in het wild. DEP is effectief tegen het lek, maar dat staat standaard niet aan in IE 7 en is niet te gebruiken in IE 6. DEP is automatisch aan te zetten voor gebruikers van IE 7 via de fix die Microsoft hiervoor uit heeft geschreven. Gebruikers van IE 6 wordt simpelweg aangeraden om nu eindelijk eens te upgraden. Ook opperde Microsoft om te updaten naar de bèta versie van IE 9.

Meer exploitatie in het wild

Het opvolgen van het advies van Microsoft wordt met de dag belangrijker omdat er steeds meer meldingen binnenkomen van uitbuiting, bijvoorbeeld via onderstaande e-mail met link naar een kwaadaardige pagina. Het lek wordt steeds meer misbruikt doordat de exploit nu toegevoegd is aan de Elenore exploit kit. Voor enkele honderden euro’s kunnen kwaadwillenden nu dus de kit aanschaffen en toegang hebben tot een zero-day.

Patch Tuesday

Het lek in IE is niet afgepleisterd in Microsoft’s patchronde van gisteren. Dat betekent dat het lek waarschijnlijk nog een maand zal openstaan, tenzij er een zeldzame out-of-band patch uit wordt gegeven door Microsoft. Beveiligingsonderzoekers vinden dat dit wel zou moeten. In de Patch Tuesday van gisteren werd wel lekken gerepareerd in de VPN-software Forefront Unified Access Gateway en in de Office-versies XP, 2003, 2007, 2010 en Office for Mac 2011. Het eerste kritieke lek werd gerepareerd in Office 2010 in de patchronde.

Bron: Techworld