Kiedy pojawia się nowa, publicznie znana luka (zero-day) Microsoft najczęściej informuje o "ograniczonej liczbie ataków" i każe czekać na łatkę do kolejnej publikacji biuletynów bezpieczeństwa. Odbywa się ona raz w miesiącu. Tylko w bardzo niebezpiecznych przypadkach firma publikuje łatkę poza harmonogramem. Taka konieczność pojawiła się teraz.

Luka, którą usunie dzisiejszy biuletyn, znajduje się w IE7 oraz starszych wersjach tej przeglądarki. Dziura pozwala na zdalny atak w czasie przeglądania stron internetowych. Aby doszło do ataku, nie jest potrzebna żadna interakcja z użytkownikiem. Wystarczy otworzyć niebezpieczną stronę.

Informacje na temat luki pojawiły się w zeszłym tygodniu. Początkowo Microsoft bagatelizował problem i zalecał kilka sposobów jego obejścia (np. wyłączenie oledb32.dll w rejestrach). Firma Secunia wyszczególniła jednak na swoim blogu błędy w ocenie Microsoftu, wskazując, że luka jest poważniejsza i nie wszystkie obejścia będą stanowić dobre zabezpieczenie.

Ataki z wykorzystaniem luki są już przeprowadzane. Według The Press Association  zainfekowano co najmniej 2 mln komputerów, a w internecie jest 10 tys. witryn, których przeglądanie naraża na infekcję. Najczęściej są to witryny chińskie, które wykorzystują lukę w celu zainstalowania konia trojańskiego na komputerze użytkownika. Szkodnik ten wykrada hasła.

Ponieważ łatki nie ma od dawna, wielu specjalistów zalecało po prostu zmianę przeglądarki. Wybór jest niemały – Firefox, Opera, Safari, Google Chrome i in. Specjaliści podkreślali, że nie ma przeglądarki bez błędów, ale w tym przypadku każda będzie bezpieczniejsza niż IE.

Dopiero wczoraj Microsoft poinformował, że udostępni dziś dodatkową łatkę poza harmonogramem. Powinni ją zainstalować wszyscy użytkownicy przeglądarek IE 5, 6 i 7.