Microsoft waarschuwt gebruikers dat een css-gat in alle versies Internet Explorer inmiddels misbruikt wordt door kwaadwillenden. Met dat gat is het mogelijk om via een besmet css-bestand binnen te dringen op computers en malware te installeren. Zo is het mogelijk om computers van slachtoffers over te nemen.

Tijdelijke patch

Hoewel Microsoft de bug zelf al eind december bevestigde, is er gisteren tijdens Patch Tuesday geen officiële patch beschikbaar gekomen. Omdat de bug in de browser inmiddels wel misbruikt wordt, heeft Microsoft een tijdelijke “Fix It” op haar website gezet. Die fix it voorkomt dat IE css-bestanden die op een besmet bestand lijken laden.

Meer precies houdt het tooltje opmaakbestanden tegen waarin via de ‘@import’ functie hetzelfde bestand nogmaals geladen wordt. Zo wordt de hack namelijk toegepast. Die functie is eigenlijk bedoeld om andere opmaakbestanden in te sluiten.

Opmaakbestanden blokkeren

Keven Brown van Microsofts Security Response Center legt uit: “Simpel gezegd voeg je met de workaround een check toe die controleert of een style sheet dubbel geladen wordt. Als dat zo is, blokkeert Internet Explorer het downloaden van dit bestand.”

Om de tijdelijke reparatie te laten werken, moeten alle bestaande beveiligingsupdates in Windows en Internet Explorer geïnstalleerd zijn. Met name de cumulatieve update MS10-090 van december vorig jaar is erg belangrijk, stelt Microsoft op haar website. Het is overigens mogelijk dat de fix niet goed overweg kan met bepaalde webapplicaties.

Internet Explorer vertraagt

Door de workaround van Microsoft vertraagt Internet Explorer daarnaast. Zo worden er ruim 150 milliseconden aan de opstarttijd van de webbrowser toegevoegd. Microsoft raadt daarom aan om de fix te verwijderen zodra er een officiële patch is. Het is onduidelijk of de gebruikers van IE hierop moeten wachten tot volgende maand of dat Microsoft tussentijds een patch uitbrengt.

Tijdens de maandelijkse updateronde van Microsoft gisteren werden wel drie updates voor twee bugs in andere applicaties van Microsoft vrijgegeven. Eén voor Windows Vista Backup Manager en twee voor Microsoft Data Access Components. In beide gevallen is het mogelijk om met behulp van de bug de computer van afstand over te nemen.