Er is een geheel nieuw beveiligingslek in Internet Explorer ontdekt dat aanvallers actief gebruiken om computers met malware te infecteren en er is nog geen beveiligingsupdate van Microsoft beschikbaar. De aanval werd door het Amerikaanse beveiligingsbedrijf FireEye ontdekt.

Het lek was ingezet bij een zogeheten "drinkplaats-aanval", waarbij aanvallers een website hacken die potentiële doelwitten uit zichzelf al bezoeken. Op deze gehackte website wordt een link geplaatst die naar de exploitcode wijst die misbruik van het beveiligingslek maakt. Het bezoeken van de website met een kwetsbare IE-versie zou voldoende zijn om besmet te raken.

FireEye laat in de aankondiging weten dat de kwetsbaarheid aanwezig is in Internet Explorer 8 op Windows XP en in Internet Explorer 9 op Windows 7, maar stelt later dat IE7, IE8. IE9 en IE10 kwetsbaar zijn. Op dit moment zijn er nog geen verdere details bekend en het bedrijf zou de ontdekking van het lek met Microsoft coördineren. Het installeren van de gratis Microsoft Enhanced Mitigation Experience Toolkit (EMET) zou misbruik van het lek voorkomen.

Zero-day

Het is het tweede "zero-day-lek" in een week tijd waar gebruikers van Windows mee te maken krijgen. Zero-days zijn kwetsbaarheden waarvoor nog geen update beschikbaar is. Eerder deze week waarschuwde Microsoft voor een actief misbruikte kwetsbaarheid in Windows Vista, Windows Server 2008, Office 2003 tot en met 2010 en Microsoft Lync. In afwachting van een update publiceerde Microsoft voor dit probleem een Fix It-oplossing die de kwetsbare code uitschakelt.