Microsoft doorbreekt zijn traditionele updateritme en publiceert een noodpatch voor een zero-day in Internet Explorer, die door Googles Threat Analysis Group werd ontdekt.
De kwetsbaarheid (CVE-2018-8653) wordt in het wild misbruikt en laat een aanvaller toe om malwarecode uit te voeren op de computer van het slachtoffer.
De zero-day kan worden misbruikt in een scenario waarbij het slachtoffer naar een malwaresite wordt gelokt, dan wel via toepassingen zoals de Office-apps, die de IE-scriptengine insluiten om webinhoud weer te geven.
Microsoft benadrukt dat een aanvaller zich via dit lek geen hogere toegangsrechten kan toe-eigenen dan het slachtoffer oorspronkelijk bezit. Bij een normaal gebruikersaccount met beperkte rechten blijft de impact dus beperkt, al kan het nog steeds voldoende zijn om andere malware op het systeem te installeren.
Patchbeleid
Het probleem is evenwel dat Microsoft in de voorbije vier maanden evenveel zero-days heeft gepatcht, die wel een verhoging van de toegangsrechten mogelijk maken. Een aanvaller zou dus via het lek in IE kunnen inbreken op een systeem en vervolgens via één van deze zero-days – als die nog niet zijn gepatcht – zichzelf beheerdersrechten geven.
Dat wijst nog maar eens op het belang van een tijdig patchbeleid. Wie in de voorbije maanden één van de patches heeft gemist, doet er goed aan om die zo snel mogelijk te installeren.
Microsofts andere browser, Edge, is niet getroffen door de zero-day.
Gerelateerd: Windows 10 B-, C- of D-update: wat is het verschil?