Een onbekend beveiligingslek in Internet Explorer dat op 8 november werd ontdekt zal vandaag door Microsoft worden gepatcht, zo heeft de softwaregigant laten weten. De kwetsbaarheid die in IE7, IE8, IE9 en IE10 aanwezig is werd bij een "drinkplaats-aanval" ingezet.

Bij dit soort aanvallen worden websites gehackt die potentiële doelwitten al uit zichzelf bezoeken en voorzien die van een exploit die misbruik van een beveiligingslek maakt. In dit geval ging het om een website die door mensen en organisaties werden bezocht die in nationaal en internationaal veiligheidsbeleid zijn geïnteresseerd. Is de aanval succesvol, dan wordt er malware gebruikt die zich alleen in het geheugen van de computer verstopt.

De kwetsbaarheid die de aanvallers gebruiken was echter al bij Microsoft bekend en zal vanavond worden verholpen. Sinds wanneer Microsoft van het lek weet laat de softwaregigant niet weten. De beveiligingsupdate in kwestie zal MS13-090 zijn en is vanavond om 19:00 uur te downloaden. De update zal bij veruit de meeste gebruikers automatisch worden geïnstalleerd.

Oplossingen

Gebruikers en organisaties die zich in de tussentijd willen beschermen kunnen de Internet en Lokale intranet beveiligingszone naar "Hoog" zetten om ActiveX Controls en Active Scripting in deze zones uit te schakelen. Ook kan IE worden ingesteld dat er een waarschuwing verschijnt voordat Active Scripting plaatsvindt, of kan Active Scripting in z'n geheel worden uitgeschakeld. Als laatste beschermt de gratis Enhanced Mitigation Experience Toolkit (EMET) tegen misbruik van het lek.