Zoals gisteren aangekondigd heeft Microsoft een noodpatch voor het ernstige beveiligingslek in Internet Explorer uitgebracht dat actief wordt misbruikt om computers met malware te infecteren. Volgens de softwaregigant gaat het om beperkte aanvallen tegen een klein aantal computers. De 63e beveiligingsupdate van dit jaar verhelpt in totaal vijf kwetsbaarheden, waarvan er vier direct aan Microsoft waren gerapporteerd.

Via de vijf lekken is het in alle gevallen mogelijk om code op het onderliggende systeem uit te voeren, hoewel in sommige configuraties de impact kleiner is.

Verder valt op dat alleen het zero-day lek dat eerder deze week werd geopenbaard in Internet Explorer 6 aanwezig is. De overige vier kwetsbaarheden gaan aan de elf jaar oude browser voorbij. Vier van de vijf lekken zijn wel aanwezig in IE9, waarmee deze versie het zwaarst is getroffen wat kwetsbaarheden betreft.

Onderzoeker
Een ander opvallende vermelding is dat Microsoft een anonieme onderzoeker bedankt voor het melden van de zero-day kwetsbaarheid. Het lek werd door onderzoeker Eric Romang aan de wereld geopenbaard, maar de naamloze onderzoeker in de advisory van Microsoft zou het lek via TippingPoint's Zero Day Initiative hebben gemeld.

TippingPoint is een onderdeel van HP en betaalt onderzoekers voor het rapporteren van kwetsbaarheden. Die worden vervolgens aan de leverancier in kwestie gecommuniceerd. Het is nu onduidelijk of deze anonieme onderzoeker zich heeft gebaseerd op de ontdekking van Romang of het probleem zelf had gevonden en vervolgens TippingPoint waarschuwde dat de informatie weer aan Microsoft doorspeelde.

De nu verschenen noodpatch wordt standaard automatisch door Windows geïnstalleerd. Ook is die verkrijgbaar via Microsoft Update.