Om gebruikers van Internet Explorer 8 tegen misbruik van een nieuw beveiligingslek te beschermen heeft Microsoft een tijdelijk noodverband uitgebracht. De kwetsbaarheid werd vorige week door verschillende beveiligingsbedrijven ontdekt. Aanvallers hadden de website van het Amerikaanse Ministerie van Werkgelegenheid en negen andere organisaties gehackt en van een exploit voorzien.

Deze boobytrap was onderdeel van een 'drinkplaats-aanval', waarbij bezoekers van de geselecteerde websites automatisch met een backdoor besmet raakten als ze Internet Explorer 8 gebruikten. De aanvallers achter de nieuwe 'zero-day' kwetsbaarheid hadden het op een selecte groep slachtoffers voorzien.

Het kenmerk van een drinkplaats-aanval is dat slachtoffers de websites uit zichzelf bezoeken, en de aanvallers geen op maat gemaakte e-mails met een kwaadaardige e-mailbijlage of link hoeven te sturen.

Noodverband
Microsoft heeft nog geen beveiligingsupdate voor het lek uitgebracht, maar een 'Fix it' oplossing is inmiddels wel beschikbaar. Via deze oplossing kunnen gebruikers via één muisklik de kwetsbare code uitschakelen. Het systeem hoeft hierbij niet herstart te worden.

Microsoft merkt op dat dit geen vervanging voor het installeren van een patch is, maar dat het in sommige scenario's uitkomst kan bieden. Het gaat dan met name om gebruikers van Windows XP, die niet naar een nieuwere versie van Internet Explorer kunnen upgraden waar het lek niet in aanwezig is.