Microsoft patchte vorige week een lek in Internet Explorer dat actief door aanvallers werd gebruikt, maar bij de aanval werd ook een andere kwetsbaarheid gebruikt die Microsoft nog aan het onderzoeken is. Op 8 november waarschuwde beveiligingsbedrijf FireEye voor een aanval op een onbekend IE-lek.

De kwetsbaarheid bevond zich in een ActiveX-onderdeel van de browser dat Microsoft al van plan was om te patchen. Op dinsdag 12 november werd dit kritieke lek door Microsoft verholpen. De aanvallers gebruikten echter een ander lek om de betrouwbaarheid van de aanval te vergroten. Het gaat hier om een informatie-lek dat in combinatie met andere aanvallen kan worden gecombineerd.

Informatie

Om dit onbekende lek te kunnen misbruiken moet de aanvaller kennis over mappen en bestandsnamen op het systeem van het slachtoffer hebben. Vervolgens is het mogelijk om de versie van een bepaald DLL-bestand vast te stellen. Deze kennis kan weer worden gebruikt voor een exploit die misbruik van een ander, ernstiger lek maakt, zoals in het geval van Internet Explorer. De werkelijke impact en oorzaak van dit informatie-lek is Microsoft nog aan het onderzoeken en afhankelijk van de uitkomst zal er meer informatie of een oplossing volgen.