Microsoft heeft op 14 april een goed gevulde patchdinsdag in petto, onder andere voor ernstige problemen in Windows, Excel en Internet Explorer. Naar alle waarschijnlijkheid dicht de softwaregigant het zero-day lek in Excel dat al sinds 24 februari door hackers misbruikt wordt en bij de vorige patchdinsdag nog werd overgeslagen. Een ander in het oog springende update is een patch voor een lek in Internet Explorer dat al sinds 2006 bekend is.

Tapijtbom
Het gaat om de gecombineerde "Safari-to-IE tapijtbom" dreiging, die lekken in beide browsers gebruikt om kwaadaardige code uit te voeren. De Israëlische beveiligingsonderzoeker Aviv Raff waarschuwde in november 2006 dat Internet Explorer 7 de "7e hemel voor spywareverspreiders" is. De Microsoft browser is namelijk kwetsbaar voor DLL-load hijacking. Als IE7 wordt gestart laadt het verschillende DLL bestanden. Bij het laden van sommige bestanden wordt niet het volledige pad van het DLL bestand gegeven, waardoor Windows dit bestand op de computer van de gebruiker zoekt.

Via een lek in Safari was het mogelijk om zonder bevestiging van de gebruiker bestanden op het bureaublad te plaatsen, die dan via het lek in IE7 konden worden uitgevoerd. Op 30 mei 2008 kwam Microsoft al met een advisory om Windows-gebruikers met Safari voor het probleem te waarschuwen.

Beveiligingsupgrade
De softwaregigant zal twee verschillende bulletins voor het probleem uitbrengen, één die ervoor zorgt dat de browser geen libraries meer van het bureaublad laadt. Als tweede aanvullende beveiligingsmaatregelen en nieuwe APIs om de impact van hackeraanvallen te beperken. Vanwege compatibiliteitsproblemen met verschillende applicaties zal deze nieuwe bescherming standaard niet zijn ingeschakeld. Naast de updates voor IE en Excel, verschijnen er ook vijf security bulletins voor problemen in Windows, waarvan vier zo ernstig dat een hacker het systeem zou kunnen overnemen. Verder verschijnt er ook een update voor de Internet Security & Acceleration (ISA) Server.