Microsoft zal aanstaande dinsdag geen beveiligingsupdate uitbrengen voor het zero-day-lek in Windows Vista, Windows Server 2008, Office 2003 tot en met Office 2010 en Microsoft Lync dat aanvallers op het moment actief gebruiken om computers met malware te infecteren.

De softwaregigant waarschuwde dinsdag voor de kwetsbaarheid, die volgens beveiligingsbedrijf FireEye zowel door een groep cyberspionnen als een groep cybercriminelen wordt gebruikt. Gezien de tijd tussen de aankondiging van het nieuwe lek en de vaste patchcyclus die elke tweede dinsdag van de maand plaatsvindt, was het al de verwachting dat Microsoft het lek niet zou patchen. Daarnaast is er voor gebruikers die zich willen beschermen een Fix It-oplossing die de kwetsbare code uitschakelt.

Aanvallen

Volgens Microsoft zijn er vooralsnog alleen aanvallen bekend tegen gebruikers van Office 2007 op Windows XP. De slachtoffers ontvingen een e-mail met een kwaadaardig TIFF-bestand waardoor de aanvallers met de rechten van de ingelogde gebruiker willekeurige code op het systeem konden uitvoeren. Microsoft stelt dat de kwetsbare code ook in Windows Vista en Windows Server 2008 aanwezig is, maar dat beide besturingssystemen nog niet zijn aangevallen.

Tijdens de patchcyclus van dinsdag 12 november verschijnen er in totaal 8 beveiligingsupdates voor lekken in Internet Explorer, Windows en Office. Drie van de updates zijn kritiek, de overige vijf zijn als belangrijk bestempeld. De kritieke lekken bevinden zich in IE en Windows, terwijl de belangrijke kwetsbaarheden zowel in Windows als Office aanwezig zijn.