Pod koniec kwietnia eksperci z firmy FireEye poinformowali o ukierunkowanych atakach z wykorzystaniem nowo odkrytej luki w Internet Explorerze. Podatność występuje we wszystkich wersjach IE - od wiekowej „szóstki” (wydanej w sierpniu 2001 r.) po „jedenastkę” udostępnioną wraz z Windowsem 8.1. W jej wykorzystaniu pomaga znana od pewnego czasu technika „exploitacji” Flasha. Skutek? Ominięcie mechanizmów ASLR (ang. Address Space Layout Randomization) i DEP (ang. Data Execution Prevention), co pozwala atakującemu na zdalne wykonanie dowolnego kodu.

Microsoft szybko potwierdził istnienie luki, ale nikt raczej nie oczekiwał, że firma upora się z wydaniem aktualizacji w niecały tydzień. Jeszcze większą niespodzianką było załatanie tej podatności w niewspieranym już Windowsie XP. Jak na oficjalnym blogu producenta wyjaśniła Adrienne Hall, o przygotowaniu poprawki również dla tego systemu zadecydował fakt, że jego wsparcie dopiero co się zakończyło (konkretnie 8 kwietnia br.). Wielu komentatorów uważa, że Microsoft strzelił sobie tym ruchem w kolano.

Według Petera Brighta z serwisu Ars Technica usunięcie poważnej luki zero-day da użytkownikom Windowsa XP złudne poczucie bezpieczeństwa, nie każdy zdaje sobie bowiem sprawę, że tylko regularne aktualizowanie wykorzystywanych programów pozwala ograniczyć ryzyko ataku. Warto też wspomnieć o wytrąceniu argumentów z rąk działów IT, które próbowały przekonać niezorientowanych technologicznie szefów do rezygnacji z przestarzałego systemu na rzecz którejś z nowszych wersji - nie każdy będzie chciał zrozumieć, że wydanie poprawek dla niewspieranego Windowsa XP to jednorazowa akcja Microsoftu, która może się już nie powtórzyć (zob. Ars Technica, Microsoft’s decision to patch Windows XP is a mistake).

Aktualizację można pobrać za pośrednictwem Windows Update, bardziej szczegółowych informacji na jej temat dostarcza opublikowany 1 maja biuletyn krytyczny MS14-021. Poprawkę warto zainstalować, nawet jeśli nie używamy Internet Explorera. Silnik renderujący IE został tak zaprojektowany, aby twórcy oprogramowania mogli dodawać funkcjonalność przeglądarki do swoich własnych aplikacji i wielu z tej opcji korzysta. Nie instalując poprawki, narażamy się więc na atak.