Microsoft komt vrijdag met een tussentijdse security-update voor een lek in Internet Explorer. Bovendien is nu al een work-around beschikbaar. Het lek maakt het uitvoeren van malafide code mogelijk als een besmette website wordt bezocht.
Dat er vrijdag een tussentijdse update wordt uitgerold, geeft aan dat Microsoft het lek als ernstig beschouwt en dat het actief wordt misbruikt; normaliter wacht Microsoft met updates tot update tuesday, de tweede dinsdag van de maand. Dat is om ict-afdelingen niet onnodig te belasten, redeneert Microsoft.
Nu komt er dus toch een tussentijdse update. Bovendien kan er nu al een work-around worden geïnstalleerd, die het probleem moet verhelpen. "Hoewel de meerderheid van de gebruikers geen last heeft van dit probleem, komen we nu al met een tijdelijke oplossing", laat Microsoft weten. Microsoft raadt gebruikers echter aan om ook als deze hotfix is geïnstalleerd, de update vrijdag toch te installeren.
Het beveiligingsprobleem in kwestie kwam eerder deze week aan het licht. Aanvankelijk leek het er enkel op dat alleen Internet Explorer 7 en 8 kwetsbaar waren voor de bug, die het uitvoeren van malafide code mogelijk maakt. Later bleek echter ook de recentste IE-versie, 9.0, kwetsbaar. De komende nieuwe versie van Internet Explorer, IE10, is niet kwetsbaar.
De bug zit hem in de manier waarop Internet Explorer omgaat met objecten in het geheugen die zijn verwijderd of die niet op een juiste manier geheugen toegewezen hebben gekregen. Daardoor kan het geheugen corrupt raken en kan eigen code worden uitgevoerd. Het surfen naar een besmette website is genoeg om de bug op te lopen.
In de afgelopen dagen waarschuwden verschillende instanties voor het gebruik van Internet Explorer in verband met de bug, waaronder de Duitse overheid en de Consumentenbond. Het gebruik van de browser werd afgeraden zo lang er nog geen update beschikbaar was. Daardoor ontstond de nodige media-aandacht, waarbij wordt voorbijgegaan aan het feit dat kwetsbaarheden in software geregeld voorkomen.