I sidste uge måtte Microsoft erkende at Internet Explorer indeholder et meget alvorligt sikkerhedshul som kan misbruges til at overføre skadelige kode fra websider. Fejlen findes i alle nyere versioner af browseren og en patch er stadig ikke færdig. Ifølge sikkerhedsfirmaer er der allerede tusindvis af websteder med exploit-kode, der forsøger at udnytte sikkerhedshullet til at smugle malware ind på de besøgendes computere.
Og det er måske ikke så underligt, at hullet allerede bliver udnyttet i stor stil. Ifølge en rapport fra firmaet iDefense har rygter om et kritisk IE-sikkerhedshul cirkuleret i den kinesiske undergrund i flere måneder, og allerede i oktober blev informationer om hullet handlet i hacker-kredse. I november dukkede den første exploit-kode op på det sorte marked, hvor den blev tilbudt for 15.000 dollar. Og i sidste uge, efter at hullet blev afsløret, faldt prisen så for exploit-kode til 650 dollar.
På dette tidspunkt blev den første færdige trojaner som udnytter sårbarheden udviklet - og antallet af angreb begyndte at stige kraftigt.
Et medlem af det kinesiske sikkerhedsteam knowsec kom angiveligt selv til at afsløre exploit-koden fordi man troede, at Microsoft havde lukket hullet på sin månedslige patch-dag i sidste uge. Men Microsoft har endnu ikke rettet sårbarheden, og det er usikkert om softwarefirmaet vil vente indtil den næste patch-dag - den anden tirsdag i januar - eller udsende en opdatering udenfor den normale opdateringscyklus.
