Vier zero-day lekken in mobiele versie Internet Explorer - desktop-versie niet kwetsbaar meer [update]

Via het Zero Day Initiative (ZDI) van HP (een programma om kwetsbaarheden te melden en op verantwoorde wijze te openbaren) zijn vier ernstige lekken in Internet Explorer geopenbaard, meldt Security.nl. Naar nu blijkt gaat het alleen om lekken in de mobiele versie van Internet Explorer - de desktop-versie is niet kwetsbaar meer. HP had de kwetsbaarheden al in november en januari aan Microsoft gemeld, maar de softwaregigant heeft nog altijd geen update voor zijn browser uitgebracht. HP heeft daarom nu de lekken in de openbaarheid gebracht om Microsoft te dwingen met een oplossing te komen. Een lek in de desktop-versie van Internet Explorer is volgens infoworld.com al in maart dichtgeplakt met update MS15-018.

De vier zero-day lekken (die dus - per definitie - nog zonder update zijn) kunnen door kwaadwillenden misbruikt worden om controle over iemands pc over te nemen. Het bezoeken van een schadelijke website met Internet Explorer Mobile is genoeg om besmet te worden. Het Nationaal Cyber Security Centrum adviseert om 'voorzichtig te zijn met het bezoeken van onbekende en/of onbetrouwbare websites'. Aangezien dat een nogal  onnozel advies is kun je beter de raad van ZDI opvolgen om Active Scripting uit te schakelen in Internet Explorer Mobile of ons advies om Microsofts browser op Windows Phone maar even links te laten liggen en met een andere mobiele browser te surfen.

Update 24-7: het blijkt nu enkel om de mobiele versie van Internet Explorer voor Windows Phone te gaan. De desktop-variant is niet kwetsbaar meer aangezien een lek daarin al dichtgeplakt is.