Het nieuwe lek werd ontdekt door de twee veiligheidsexperts Tom Gilder en Thor Larholm. Vorige week werd al een ander probleem met het populaire chatprogramma van Microsoft bekendgemaakt. Het nieuwe lek is echter een stuk ernstiger van aard. Waar bij het eerdere lek slechts sprake was van het openbaarstellen van een contactlijst, kan bij het nieuwe probleem complete controle worden verkregen over iemands MSN Messenger clientsoftware. Dat betekent dat cybervandalen iemands account kunnen overnemen en bijvoorbeeld berichten kunnen versturen naar de contactpersonen namens de bezitter van de gekraakte computer. Ook kunnen kwaadwillenden op zoek gaan naar interessante bestanden op de harde schijf. Het probleem – waarvoor Microsoft nog geen oplossing biedt – heeft te maken met een reeds eerder geopenbaard lek in Internet Explorer. Deze zogeheten Document.Open-bug maakt het mogelijk cookies te verkrijgen en documenten in te zien. Op de site van Gilder en Larholm staat welke configuraties precies kwetsbaar zijn voor het nieuwe lek met MSN Messenger.

Mislukte superpatch

Microsoft kwam eind vorige week overigens met een grote superpatch die diverse problemen met Internet Explorer moest verhelpen. Deze patch (versie Q316059) heeft donderdag echter maar twee uur online gestaan. Daarna heeft Microsoft hem teruggetrokken. De patch zou niet goed werken. Wat het probleem precies was, is niet bekend. Wie de patch toch heeft geïnstalleerd, loopt geen gevaar, zo belooft Microsoft. Het softwarebedrijf hoopt zo snel mogelijk met een nieuwe cumulatieve patch te komen die alle veiligheidsproblemen met Internet Explorer moet verhelpen.