Tijdens de patchcyclus van september heeft Microsoft een beveiligingsupdate uitgebracht voor een actief aangevallen zerodaylek in Windows. De kwetsbaarheid, CVE-2021-40444, bevindt zich in MSHTML, de door Microsoft ontwikkelde browser-engine van Internet Explorer. MSHTML wordt ook door Office-applicaties gebruikt voor het weergeven van webcontent in documenten.

Bij de waargenomen aanvallen sturen aanvallers hun doelwit een Microsoft Office-bestand. Wanneer de gebruiker dit document opent wordt er een kwaadaardig ActiveX-control geladen dat het systeem uiteindelijk met malware infecteert. De kwetsbaarheid werd begin september door verschillende onderzoekers aan Microsoft gerapporteerd. Als tijdelijke oplossing kwam het techbedrijf met een workaround, maar nu is er ook een patch beschikbaar.

In totaal verhielp Microsoft gisterenavond 66 kwetsbaarheden, waarvan er drie als kritiek zijn aangemerkt. Het gaat onder andere om een lek in de WLAN AutoConfig Service van Windows waardoor een aanvaller willekeurige code op systemen kan uitvoeren. Voorwaarde is wel dat een aanvaller op hetzelfde netwerk zit als het doelwit. "Dit zou zeer bruikbaar zijn in een coffeeshop waar meerdere mensen een onbeveiligd wifi-netwerk gebruiken", zegt Dustin Childs van het Zero Day Initiative. Er is verder geen interactie van de gebruiker vereist. De updates worden op de meeste systemen automatisch geïnstalleerd.