Het gaat om een net ontdekte kwetsbaarheid in versies 8 tot en met 10 van Internet Explorer. Daarmee raakt dit gat net niet alle huidige Windows-versies: van XP (met daarop maximaal IE8) tot en met 8. Het net verschenen Windows 8.1 heeft standaard IE11 en die lijkt niet kwetsbaar voor deze 0-day die schuilt in Microsofts ActiveX-technologie.

Niet overhaast, maar al in de maak

De softwareleverancier komt nu met een patch voor het gat dat net voor het weekend aan het licht is gebracht door securityleverancier FireEye. Deze patch is echter niet overhaast ontwikkeld. Microsoft stelt in een blogpost dat de vandaag verschijnende update al gepland was. De oplossing voor het geopenbaarde gat was dus al in de maak en stond al op de rol voor de Patch Tuesday van deze maand.

De zeer gerichte aanvallen die via dit 0-day gat al zijn ondernomen, zetten spoorloze malware in. De kwaadaardige code houdt zich namelijk alleen schuil in het geheugen van besmette computers en laat daardoor "weinig tot geen sporen na", stellen onderzoekers van securitybedrijf FireEye.

Lees: 0-day in IE laat spoorloze malware binnen

"We hebben bevestigd dat deze kwetsbaarheid een issue is die al gepland stond om te worden aangepakt in 'Bulletin 3', wat uitgebracht zal worden als MS13-090", schrijft securitymanager Dustin Childs van Microsoft. Hij raadt gebruikers ook aan om de beveiligingsinstellingen binnen Internet Explorer aan te passen, om de restricties voor ActiveX-controls en Active Scripting scherper in te stellen.

Update: Kop en intro gecorrigeerd: net niet alle IE-versies zijn kwetsbaar, want IE11 (in Windows 8.1 lijkt veilig te zijn).