Microsoft heeft gisteren een ernstig beveiligingslek in Windows gedicht dat al sinds Windows 95 aanwezig was en een aanvaller via een drive-by download kwetsbare computers liet overnemen, waarbij zowel de Enhanced Protected Mode (EPM) sandbox van Internet Explorer 11 als de Enhanced Mitigation Experience Toolkit (EMET) beveiligingstool van Microsoft konden worden omzeild.

De kwetsbaarheid in Windows Object Linking and Embedding (OLE) werd veroorzaakt door de manier waarop IE met geheugenobjecten omging. Onderzoekers van IBM ontdekten het probleem in mei van dit jaar en waarschuwden vervolgens Microsoft, dat gisteren met de update kwam. Verder onderzoek wees echter uit dat de kwetsbare code al in Windows 95 aanwezig was en via Internet Explorer 3.0 op afstand kon worden aangevallen.

IE 3.0 introduceerde namelijk Visual Basic Script waarmee een drive-by download kan worden uitgevoerd. In dit geval volstaat het bezoeken van een gehackte of kwaadaardige website met een kwetsbare Windowsversie en Internet Explorer om aanvallers willekeurige code op de computer uit te laten voeren. Volgens de onderzoekers laat het lek zien dat ernstige problemen soms lange tijd onopgemerkt kunnen blijven. "De kwetsbare code is tenminste 19 jaar oud en was de afgelopen 18 jaar op afstand te misbruiken", zegt onderzoeker Robert Freeman.

Hij merkt op dat de code zich lange tijd in het zicht verborgen heeft weten te houden en er in dezelfde Windowsbibliotheek veel andere bugs zijn ontdekt en gepatcht. Daarnaast laat het lek volgens Freeman zien dat er mogelijk nog meer soortgelijke problemen in Windows zijn die tot ernstige lekken kunnen leiden. Ondanks de leeftijd van de gisteren gepatchte bug hoeven gebruikers zich geen zorgen te maken. Volgens de onderzoekers zijn er geen aanwijzingen dat het lek in het verleden is aangevallen.