Microsoft kondigt de zogeheten out-of-band patch aan die toch niet pas in de volgende ronde van Microsofts maandelijkse patchcyclus wordt geleverd. De eerstvolgende Patch Tuesday is op 9 februari. Security-manager George Stathakopoulus geeft geen informatie over wanneer de patch exact uitkomt.

'Verwarring bij klanten'

"Gezien de aanzienlijke hoeveelheid aandacht voor deze kwestie, verwarring bij klanten over wat ze kunnen doen om zichzelf te beschermen, en de escalerende dreiging brengt Microsoft een security-update uit buiten de reguliere patchcyclus om", meldt de Microsoft-manager op het security-blog. Meer informatie over wanneer de patch uitkomt, volgt morgen.

De leverancier benadrukt dat er tot op heden alleen nog maar beperkte aanvallen zijn geweest, dus dat de exploit niet breed wordt benut. Het gaat wel om gerichte aanvallen. Dit specifieke gat in Internet Explorer is al misbruikt om in te breken bij Google en zeker 33 andere Amerikaanse bedrijven. Daaronder bevinden zich Adobe, Yahoo en Defensieleverancier Northrop.

Exploitcode op straat

Een alleen op IE6 goed werkende variant van die exploitcode is al uitgelekt. Inmiddels is de exploitcode onderzocht en aangepast waardoor het ook werkt op versies 7 en 8 van de in Windows geïntegreerde webbrowser.

De verwachting was dat Microsoft wel degelijk met een noodpatch zou komen. Tot op heden hield het bedrijf nog een slag om de arm; de patch voor dit kritieke lek kon ook pas komen in de eerstvolgende patchronde op dinsdag 9 februari, meldde Microsoft zelf.

Het bedrijf beriep zich ook op beschermende functies in IE7 en 8, maar ook in Windows Vista en 7, die de impact van het lek beperken. De nu aangepaste exploitcode omzeilt in ieder geval één van die maatregelen, de DEP (Data Execution Prevention), te omzeilen.

Correctie:

Microsofts patchronde komt altijd op de tweede dinsdag van de maand. De eerstkomende Patch Tuesday is dus 9 februari, niet 2.