Microsoft waarschuwt voor een zerodaylek in Internet Explorer dat actief wordt gebruikt om gebruikers aan te vallen en een beveiligingsupdate is nog niet beschikbaar. Via de kwetsbaarheid kan een aanvaller in het ergste geval systemen volledig overnemen. Alleen het bekijken van een kwaadaardige of gecompromitteerde website of het te zien krijgen van een besmette advertentie is voldoende. Er is geen verdere interactie van de gebruiker vereist.
Het beveiligingslek is aanwezig in Internet Explorer 9, 10 en 11 en wordt veroorzaakt door de manier waarop de scripting-engine van IE geheugenobjecten verwerkt. Via de kwetsbaarheid kan een aanvaller willekeurige code uitvoeren met rechten van de ingelogde gebruiker. Hoewel een beveiligingsupdate nog niet voorhanden is kunnen gebruikers wel maatregelen nemen. Hiervoor moet toegang tot het bestand JScript.dll worden beperkt.
Microsoft stelt dat deze maatregel voor verminderde functionaliteit van de browser kan zorgen. Om volledig beschermd te zijn wordt aangeraden de update te installeren zodra die beschikbaar komt. Het lijkt erop dat deze patch tijdens de patchdinsdag van februari zal verschijnen die voor 11 februari gepland staat. Wat betreft de waargenomen aanvallen spreekt Microsoft over "beperkte, gerichte aanvallen", maar geeft geen verdere informatie. In Nederland heeft Internet Explorer op de desktop nog een marktaandeel van 4,4 procent, aldus StatCounter.
Deze posting is gelocked. Reageren is niet meer mogelijk.