Een kritiek beveiligingslek in Silverlight is toch door aanvallers aangevallen voordat de beveiligingsupdate om het probleem te verhelpen beschikbaar was, zo heeft Microsoft laten weten. Silverlight is een door Microsoft ontwikkelde browserplug-in voor het afspelen van voornamelijk videocontent.

Dinsdag publiceerde Microsoft een Security Bulletin om een kritieke kwetsbaarheid in de software te patchen. Via dit beveiligingslek kon een aanvaller willekeurige code op de computer uitvoeren, zoals het installeren van malware. Alleen het bezoeken van een gehackte of kwaadaardige website was hiervoor voldoende. In het Security Bulletin stelde Microsoft dat het niet bekend was met aanvallen op de kwetsbaarheid voordat de beveiligingsupdate beschikbaar was.

Een paar uur later kwam het Russische anti-virusbedrijf Kaspersky Lab met het nieuws dat eigen onderzoekers het Silverlight-lek tijdens verschillende aanvallen hadden ontdekt. Microsoft werd vervolgens zowel over de aanval als de kwetsbaarheid ingelicht. Security.NL nam contact op met zowel Kaspersky Lab als Microsoft, aangezien beide bedrijven iets anders beweerden. Kaspersky Lab liet weten dat het Microsoft wel degelijk over de aanval had geïnformeerd. Microsoft hield echter vol dat het niet met de aanvallen bekend was.

De softwaregigant is daar nu toch op teruggekomen. In een aangepaste versie van het Security Bulletin staat nu dat "Microsoft een melding ontving die mogelijk op een gerichte aanval wees die de kwetsbaarheid probeerde te gebruiken." In het overzicht van de patchdinsdag is Microsoft duidelijker en staat er "Exploitation Detected", wat inhoudt dat er wel aanvallen van tevoren waren waargenomen. Vanwege deze aanpassing heeft het Nationaal Cyber Security Center (NCSC) van de overheid de kans dat de kwetsbaarheid door cybercriminelen wordt aangevallen verhoogd van 'gemiddeld' naar 'hoog'.