Het ernstige beveiligingslek in Internet Explorer waardoor Google en tientallen andere bedrijven gehackt zijn, was sinds september vorig jaar al bij Microsoft bekend. Dat zegt Jerry Bryant van het Microsoft Security Response Center (MSRC). De softwaregigant bracht gisteren een out-of-band patch voor de kwetsbaarheid uit, die inmiddels ook tegen consumenten wordt ingezet. Naast dit lek verhelpt MS10-002 ook zeven andere lekken. De update had Microsoft al voor de patchcyclus van februari gepland.
"Toen we op 11 januari voor het eerst van de aanval hoorden, hebben we drie dagen later een advisory voor onze klanten uitgebracht. Aan de hand van dat onderzoek stelden we vast dat dit lek hetzelfde lek was dat op verantwoorde begin september aan ons was gemeld", aldus Bryant. De noodpatcht van gisteren is in 236 verschillende varianten uitgekomen. Te weten voor zeven versies van Windows, vier verschillende versies van Internet Explorer en alle ondersteunde talen.
Beloningsprogramma
Verder benadrukt de Senior Security Program Manager dat ook andere applicaties die mshtml.dll als een rendering engine gebruiken en Active Scripting toestaan, risico lopen. Voor deze applicaties, zoals Office en Outlook, brengt Microsoft geen update uit, aangezien de noodpatch voor Internet Explorer dit probleem al oplost. Alle acht lekken zijn door externe beveiligingsonderzoekers ontdekt, waarvan er vijf via Zero Day Initiative van TippingPoint zijn aangemeld. Via dit beloningsprogramma krijgen onderzoekers betaald voor het op verantwoorde wijze melden van beveiligingslekken.
Deze posting is gelocked. Reageren is niet meer mogelijk.