Een beveiligingsonderzoeker heeft een kwetsbaarheid in Internet Explorer 11 ontdekt waardoor een kwaadaardige website bijvoorbeeld cookies uit andere geopende tabs kan stelen of kwaadaardige code kan injecteren. Om de Cross Site Scripting (XSS)-aanval uit te kunnen voeren moet een gebruiker wel eerst naar een kwaadaardige website worden gelokt, zo laat Microsoft tegenover Ars Technica weten.

De kwetsbaarheid werd afgelopen vrijdag door onderzoeker David Leo via de Full Disclosure-mailinglist onthuld, die ook deze demonstratie online zette. Microsoft laat aan The Register weten dat het geen tijdsvenster had gekregen om de kwetsbaarheid te verhelpen. Leo stelt echter dat hij de softwaregigant op 13 oktober vorig jaar had ingelicht. Inmiddels zegt Microsoft aan een update te werken. Wanneer die verschijnt is nog onbekend. Volgens Microsoft zijn er nog geen aanvallen waargenomen die van het lek gebruik maken. De kwetsbaarheid is bevestigd in de meest recente IE11-versie op Windows 7 en Windows 8.1.

"Om het risico te vermijden adviseer ik altijd om meerdere browsers beschikbaar te hebben en totdat er een oplossing is een alternatief zoals Firefox of Chrome te gebruiken", zegt TK Keanini van Lancope tegen Security.NL. Volgens Stephen Coty van Alert Logic valt de impact van het lek mee. Alleen IE11-gebruikers op Windows 7 en 8.1 zouden risico lopen. Daarnaast moet de gebruiker een website bezoeken waar een iframe is geïnjecteerd. Eerder stelde Joey Fowler van Tumblr dat de XSS-aanval niet werkt tegen websites die de X-Frame-Options headers gebruiken.