Microsoft heeft een beveiligingsupdate voor een zerodaykwetsbaarheid in Internet Explorer uitgebracht. Volgens het bedrijf werd dat lek actief misbruikt, al brengt het geen details naar buiten over hoe dat precies gebeurt. In de patch zit ook een fix voor Microsoft Defender.
Het lek staat bekend onder de code CVE-2019-1367. Volgens Microsoft gaat het om een kwetsbaarheid in de manier waarop de script engine omgaat met objecten in het werkgeheugen. Daardoor kan een aanvaller het werkgeheugen manipuleren en zo een remote code execution doen vanaf een andere website. Als de gebruiker is ingelogd als administrator kan een aanvaller programma's installeren. Ook is het mogelijk adminrechten te krijgen voor slachtoffers die als gewone gebruiker zijn ingelogd. Volgens Microsoft zit de kwetsbaarheid in ieder geval in Internet Explorer 9 tot en met 11.
Dergelijke kwetsbaarheden komen vaker voor in Internet Explorer. Doorgaans worden die dan gerepareerd tijdens 'Patch Tuesday', de maandelijkse dag dat alle beschikbare patches in één keer worden verspreid. Nu brengt Microsoft een noodpatch uit, wat betekent dat het lek in het wild werd misbruikt. De kwetsbaarheid werd ontdekt door Clément Lecigne, een onderzoeker van Googles Threat Analysis Group. Dat is dezelfde groep die onlangs kwetsbaarheden in iOS ontdekten die actief werden misbruikt. Of het hier om vergelijkbare aanvallen en aanvallers gaat is niet bekend.
In de patch wordt ook een kwetsbaarheid gerepareerd in Microsoft Defender. Het gaat daarbij om CVE-2019-1255. Dat lek is een 'denial-of-service'-kwetsbaarheid. Een aanvaller die al toegang heeft tot een systeem kan daarmee zorgen dat Defender een false positive geeft. Dat zorgt ervoor dat een applicatie ten onrechte wordt geblokkeerd. De twee kwetsbaarheden hebben niets met elkaar te maken.