Microsoft waarschuwt voor een zero-daylek in Internet Explorer, maar heeft voorlopig nog geen patch beschikbaar. De kwetsbaarheid wordt actief misbruikt in gerichte aanvallen.
De kritieke kwetsbaarheid laat een aanvaller toe om vanop afstand code uit te voeren via een bug in de scripting engine van Internet Explorer. Het lek treft Internet Explorer 9, 10 en 11 op Windows 7 tot en met 10. Ook Windows Server 2008 tot en met 2019 zijn kwetsbaar.
Een aanvaller kan een speciale webpagina opzetten, die de exploit in gang zet wanneer een slachtoffer erop terechtkomt. De kwetsbaarheid wordt reeds actief misbruikt, maar volgens Microsoft gaat het om “beperkte gerichte aanvallen”.
Nog geen patch
Een patch is er nog niet, maar Microsoft biedt in een beveiligingsadvies wel enkele mitigaties aan om het risico op getroffen systemen te beperken. Het Amerikaanse Cybersecurity and Infrastructure Agency (CISA) raadt zelfs aan om Internet Explorer niet langer te gebruiken tot een patch beschikbaar is.
Hoewel Microsoft vijf jaar geleden met Edge op de proppen kwam om Internet Explorer te vervangen, heeft de oude browser in België nog steeds een marktaandeel van 5,7 procent volgens Statcounter. In bedrijven blijft IE vaak nog noodzakelijk voor sommige legacy-toepassingen. Dat moet eindelijk veranderen met de nieuwe Chromium-versie van Edge, die een legacy IE-modus bevat.
Lees ook: Microsoft lanceert Edge op Chromium voor het grote publiek. Microsofts Edge op Chromium is eindelijk algemeen beschikbaar. De browser zal op termijn het klassieke Edge volledig vervangen en moet ook Internet Explorer eindelijk overbodig maken.