De patches zijn onderdeel van het maandelijkse patchbulletin, dat — zoals altijd — op de tweede dinsdag van de maand verschijnt.

Het lek in de verwerking van de 'Window()'-functie in JavaScript zit al sinds mei in Internet Explorer. Het Britse onderzoeksbureau Computer Terrorism publiceerde eind november nog een conceptcode om aan te tonen dat het lek kritieker was dan aanvankelijk werd gedacht.

Het gevolg was dat hackers zich massaal op het lek stortten. Beveiligingsbedrijf Websense meldde vorige week 'al duizenden websites' te hebben geclassificeerd die kwaadaardige software op de pc van hun bezoekers installeren.

Beveiligingsexperts hoopten dat Microsoft met een vroegtijdige patch zou komen. Maar volgens Stephen Toulouse, programmamanager van het Microsoft Security Response Center, publiceert Microsoft zelden een 'out-of-cycle'-patch. "Dat is, sinds het bestaan van ons maandelijkse bulletin, maar drie keer eerder gebeurd. We wilden de patch eerst door de gebruikelijke testprocedures loodsen."

De andere patch die Microsoft heeft uitgebracht dicht een veel minder kritiek lek in de kernel van Windows 2000, meldt Microsoft.

Rootkit

Naast de veiligheidspatches brengt Microsoft ook een update voor zijn Windows Malicious Software Removal Tool uit, twee updates voor Windows Update (WU) en Software Update Services (SUS) en drie updates voor Microsoft Update (MU) en Windows Server Update Services (WSUS).

De update voor de Windows Malicious Software Removal Tool zet, zoals verwacht, de rootkit-eigenschappen van Sony's XCP (Extended Copy Protection) software uit. Deze software kwam de laatste weken in het nieuws omdat deze verdacht veel op 'spyware' lijkt. De uninstaller blijkt bovendien een lekke ActiveX-control te installeren die door hackers kan worden misbruikt.

Bron: Techworld