Microsoft opublikował poza cyklem łatę na lukę w zabezpieczeniach obsługi animowanych kursorów przez system Windows, o której głośno było w mediach. Usterka ta została ujawniona pod koniec zeszłego miesiąca. Po pojawieniu się licznych exploitów wykorzystujących ten problem Microsoft niezwłocznie opublikował poradnik bezpieczeństwa.

Luka została oceniona jako krytyczna, ponieważ nie wymaga interakcji użytkownika. Osoba atakująca musi tylko umieścić zainfekowaną stronę www i skłonić użytkowników do odwiedzenia jej lub wysłać e-mail z załącznikiem, który wykorzystuje lukę w plikach animowanych kursorów (.ani). Christopher Budd z Microsoft Security Response Center powiedział, że luka ta znana była Microsoftowi już w grudniu 2006 roku i firma planowała opublikowanie łaty w ramach kwietniowej aktualizacji zabezpieczeń. Jednak w związku z rozpowszechnieniem się ataków zdecydowano przyspieszyć udostępnienie łaty.

Podobnie jak w przypadku innych głośnych luk "zero-day" w ostatnich miesiącach, wcześniej pojawiła się łata od "osób trzecich". W przeszłości Microsoft nigdy nie popierał takich rozwiązań. Koncern z Redmond zaleca, aby do momentu opublikowania oficjalnej poprawki użytkownicy w celu ochrony przed exploitami uaktualniali swoje oprogramowanie antywirusowe.

Źródło: BBC News MSRC Blog Reuters UK