Microsoft zal het nieuw ontdekte beveiligingslek in Windows, dat actief door hackers wordt misbruikt, pas over een paar maanden patchen, aldus een beveiligingsexpert. Dit weekend en gisteren sloegen verschillende beveiligingsbedrijven alarm dat er exploitcode voor een kwetsbaarheid in het Microsoft Video ActiveX Control in omloop is. Het lek is aanwezig in Windows XP en Windows Server 2003 en treft alleen gebruikers van Internet Explorer. Het kwetsbare Microsoft Video Control object is een ActiveX control dat DirectShow filters verbindt voor het opslaan en opnemen van video.

Aanvallers hoeven gebruikers alleen naar een kwaadaardige of gehackte website te lokken en kunnen vervolgens via een drive-by download stilletjes malware op het systeem installeren. Net als met het zero-day lek in DirectX, heeft Microsoft een "fix-it oplossing" die via één muisklik het kwetsbare bestand uitschakelt. Microsoft laat weten dat het bezig is met een update, maar die zal niet voor de patchdinsdag van aanstaande dinsdag gereed zijn. Beveiligingsonderzoeker Dancho Danchev ziet het zelfs een stuk somberder in en verwacht dat de update pas tenminste over een paar maanden klaar zal zijn. Het DirectX-lek dat waarschijnlijk wel deze maand wordt gepatcht, was al sinds eind mei bekend.

De exploit is inmiddels op zo'n 1000 Chinese websites aangetroffen. Eenmaal actief op het systeem schakelt de malware aanwezige anti-virus software uit en downloadt aanvullende malware. Het ISC houdt een lijst van domeinnamen bij die de aanvallers gebruiken.