Dat meldden verschillende beveiligingsbedrijven. De exploit misbruikt een fout van IE in de omgang met xml, zodat het een heap overflow kan uitlokken.

Door het slachtoffer naar een website te lokken en bloot te stellen aan kwaadaardige JavaScript-code, kan de hacker een installer voor een trojanop het systeem uitvoeren. Deze haalt op zijn beurt weer andere malware naar binnen. McAfee noemt de Downloader-AZN als de gebruikte trojan.

IE 7 hapt volgens de onderzoekers toe in 1 op de 3 gevallen op hun testsysteem met Windows XP SP2. Maar McAfee geeft aan dat systemen met XP SP3 en Vista SP1 ook kwetsbaar zijn. Bovendien is het lek eergisteren met Patch Tuesday niet gedicht, zo staat te lezen op het blog van een klein beveiligingsbedrijf, Lumension Security.

Nare exploit

Het Chinese security-team 'knownsec' publiceerde de exploit per ongeluk. Ten minste, ze waren in de veronderstelling dat er al een patch was uitgegeven voor de kwetsbaarheid. "Dit is onze fout", aldus de Chinese beveiligers.

iDefense constateert dat de exploit een 'erg nare' is, die security professionals nog hoofdbrekens kan gaan bezorgen, meldt de IDG Nieuwsdienst.

Microsoft laat weten kennis genomen te hebben van het lek. Het is nog onbekend of het bedrijf een noodpatch zal uitbrengen of wacht op de volgende Patch Tuesday in januari 2009.