Eergisteren raakte bekend dat het door een lek in de avatar-functie van MSN Messenger mogelijk was een computer van een gebruiker over te nemen. De eerste exploit die gebruikmaakt van deze bug is nu op het internet verschenen. De auteur van de software om het lek te misbruiken publiceerde bovendien niet alleen het uitvoerbare bestand, maar ook de broncode, zodat verwacht mag worden dat er binnenkort varianten zullen opduiken. Om de computer van het slachtoffer over te nemen wordt gebruik gemaakt van een fout in de libpng-codebibliotheek, die onder andere gebruikt wordt om de smileys of emotions weer te geven, evenals de gebruikersafbeeldingen. Met de verschillende codevoorbeelden die gepubliceerd werden kan men de Messenger-software van het slachtoffer laten crashen of software op het systeem draaien zonder dat het slachtoffer zich hiervan bewust is.
In de maandelijkse patchronde leverde Microsoft verschillende patches en updates die fouten in de libpng-bibliotheek herstellen. Veel gebruikers hebben echter de automatische update-functie uitgeschakeld, waardoor kwaadwilligen die gebruikmaken van reeds gepatchte fouten toch nog heel wat systemen kunnen infecteren. Volgens program manager Stephen Toulouse is de bètaversie van MSN Messenger 6.2.7 niet vatbaar voor misbruik. In afwachting van de lancering van deze versie, worden gebruikers aangeraden zo snel mogelijk de MS05-009-patch te installeren om het png-lek te herstellen.
