Microsoft zal vanavond een belangrijke update voor een zeer ernstig beveiligingslek in Internet Explorer uitbrengen. Via de kwetsbaarheid zijn in december Google en tientallen andere Fortune 100 bedrijven gehackt, vermoedelijk door Chinese hackers. Alleen in zeer bijzondere gevallen besluit Microsoft tot een out-of-band patch over te gaan, bijvoorbeeld voor het lek dat de Conficker worm misbruikte, maar ook meerdere keren voor kwetsbaarheden in Internet Explorer.

Verder blijkt dat Windows XP met Service Pack 3 en Internet Explorer 8 in principe ook kwetsbaar is. De exploit van het Franse beveiligingsbedrijf VUPEN kan namelijk de Data Execution Prevention (DEP) beveiliging van Windows XP omzeilen, zo heeft Microsoft bevestigd. Vista, Server 2008 en Windows 7 lopen dankzij de bescherming van Address Space Layout Randomization (ASLR) geen risico. Deze beveiligingsmaatregel is niet in Windows XP aanwezig. Aanvallen zijn volgens Microsoft nog altijd beperkt en alleen tegen Internet Explorer 6 gericht.

Outlook en Office
Ook Outlook, Outlook Express en Windows Live Mail zijn kwetsbaar, toch acht de softwaregigant de kans op aanvallen klein. "We zijn nog niet bekend met exploits tegen ondersteunde versies van Outlook, Outlook Express of Windows Live", zegt Jerry Bryant van het Microsoft Security Response Center (MSRC). Met name gebruikers die de Restricted sites zone hebben aangepast lopen volgens Bryant risico. Hij waarschuwt dat het lek ook via een ActiveX control in een Microsoft Access, Word, Excel of PowerPoint bestand is te misbruiken.

Microsoft Security Bulletin MS10-002 is vanavond via Windows Update, de Automatische Update functie, het betreffende bulletin en Windows Server Update Services te downloaden.