Gisteravond is een noodupdate voor Internet Explorer uitgebracht. Microsoft verhelpt onder meer een kwetsbaarheid die al sinds december bekend is en waardoor een aanvaller op afstand code kan uitvoeren op kwetsbare machines.
Met het ongeplande beveiligingsbulletin MS13-008 verhelpt Microsoft een kwetsbaarheid in Internet Explorer (IE), die van invloed is op browserversies 6, 7 en 8. Onder de client-besturingssystemen Windows 7, Vista en XP wordt de update als kritiek beschouwd.
De patch is uiteindelijk een retroactieve uitbreiding van de cumulatieve IE-beveiligingsupdate MS12-077. Met name beheerders moeten ervoor zorgen dat deze patch van tevoren is geïnstalleerd om compatibiliteitsproblemen te omzeilen.
In het geval van de Windows-serverbesturingssystemen is er slechts een matig risico, aldus Microsoft. De twee recentere Internet Explorer 9 en 10 blijven gespaard van de kwetsbaarheid – een update naar een van deze Microsoft-browsers is echter pas mogelijk vanaf Windows Vista.
Met de patch verandert Microsoft hoe Internet Explorer omgaat met objecten die in het geheugen zijn opgeslagen. De reden hiervoor is dat er beveiligingsproblemen kunnen ontstaan als een object niet op de juiste wijze in het geheugen wordt toegewezen of vervolgens wordt verwijderd.
Een aanvaller zou hier misbruik van kunnen maken door een website op te zetten die toegang heeft tot de desbetreffende objecten of hun geheugengebied. Vervolgens zou hij de gebruiker zover moeten krijgen dat hij de website bezoekt – bijvoorbeeld met behulp van een spambericht.
Als de aanval succesvol was, zou hij vervolgens willekeurige code op de machine kunnen uitvoeren. Volgens Microsoft is het gevaar groter naarmate de rechten van de momenteel ingelogde gebruiker hoger zijn.
Hoe meer de gebruiker is ingelogd, hoe groter het gevaar.