Microsoft heeft het Nationaal Cyber Security Center (NCSC) van de overheid bedankt voor het op verantwoorde wijze rapporteren van een zero-day-lek in Internet Explorer waarvoor gebruikers van de browser zelf nooit zijn gewaarschuwd.

Op 17 september waarschuwde Microsoft voor een onbekend beveiligingslek in Internet Explorer dat actief werd aangevallen, maar aanvallers hebben ook een ander lek in de browser ontdekt en hiervoor een exploit ontwikkeld, terwijl er op dat moment geen update beschikbaar was. Volgens het Sourcefire Vulnerability Research Team en SpiderLabs is het lek ook gebruikt bij aanvallen op IE-gebruikers.

De waarschuwing van de softwaregigant was voor CVE-2013-3893. Kwetsbaarheden krijgen meestal een CVE-nummer toegekend, wat wordt gebruikt om in de CVE-database allerlei informatie over de kwetsbaarheid en eventuele oplossing bij te houden. Dit lek zou volgens beveiligingsbedrijf FireEye voor het eerste op 23 augustus tegen een Japans doelwit zijn ingezet

Tweede zero-day

Gisterenavond verscheen Microsoft Security Bulletin MS13-80, die in totaal 10 lekken in Internet Explorer verhelpt. Elia Florio van het Microsoft Security Response Center laat weten dat deze update ook een andere zero-day-kwetsbaarheid oplost. Zero-days zijn beveiligingslekken waarvoor nog geen update beschikbaar is op het moment dat ze bekend worden.

Het gaat om CVE-2013-3897, waarvoor geen waarschuwing verscheen. De exploit voor dit lek is waarschijnlijk sinds halverwege september in omloop en is ontworpen om alleen Internet Explorer 8 op Windows XP met een Koreaanse of Japanse taalinstelling aan te vallen.

NCSC

In de technische analyse van het Security Bulletin bedankt Microsoft onder ander het NCSC voor het melden van dit onbekende lek. De kwetsbaarheid zou door ene "Hoodie22" bij de Nederlandse overheidsinstantie zijn gerapporteerd, die vervolgens Microsoft inlichtte.