Microsoft waarschuwt gebruikers van Internet Explorer 6, 7 en 8 voor een nieuw beveiligingslek dat actief door aanvallers gebruikt wordt om Windows-computers over te nemen. De kwetsbaarheid werd afgelopen woensdag op de website van de Council on Foreign Relations (CFR) ontdekt. Het bezoeken van de website met een kwetsbare browser was voldoende om besmet met malware te raken.

Volgens Microsoft is de exploit die van het beveiligingslek misbruik maakt tegen een "zeer klein aantal" gebruikers ingezet. Het probleem wordt veroorzaakt door de manier waarop Internet Explorer een object in het geheugen benadert dat is verwijderd of niet juist is toegewezen. Dit kan het geheugen corrumperen waarna een aanvaller willekeurige code op de computer kan uitvoeren.

Oplossing
Microsoft werkt aan een beveiligingsupdate en zal binnenkort met een 'Fix It' oplossing komen waardoor Windows-gebruikers hun computer met één muisklik tegen het nieuwe lek kunnen beschermen. In de tussentijd kunnen gebruikers verschillende maatregelen nemen die misbruik van het lek voorkomen:

• Upgraden naar IE9 of IE10. Deze browsers zijn niet kwetsbaar.
  
• Het gebruik van de gratis Microsoft Enhanced Mitigation Experience Toolkit EMET. Zie ook deze handleiding van Security.nl.
  
• Het aanpassen van de beveiliging van de Internet zone naar het hoogste mogelijk niveau.
  
• Het uitschakelen van Active Scripting en JavaScript.
  
• Het uitschakelen van Adobe Flash Player.
  
• Het uitschakelen van het ms-help protocol en ervoor zorgen dat Java 6 niet kan worden uitgevoerd.

"We willen benadrukken dat IE9 en IE10 niet kwetsbaar zijn en we alleen zeer beperkte gerichte aanvallen zien. We werken non-stop aan een volledige beveiligingsupdate", zegt Microsoft's Jonathan Ness. Hij merkt op dat Microsoft zeer snel de beschikbaarheid van een Fix It tool zal aankondigen om de kwetsbare code in IE af te schermen.

Update 13:48
Zie ook het Security.nl stappenplan hoe gebruikers van IE6, 7 en 8 zich kunnen beschermen.