Microsoft dicht kritiek lek in Internet Explorer dat actief wordt misbruikt

Microsoft heeft een patch uitgebracht die een kritiek beveiligingslek dicht. Het gaat om een kwetsbaarheid in Internet Explorer die aanvallers de mogelijkheid geeft om code uit te voeren wanneer het slachtoffer een malafide site bezoekt of een gemodificeerd Office-document opent.

De oplossing voor het beveiligingsprobleem maakt deel uit van het November Patch Tuesday-pakket van fixes dat Microsoft sinds dinsdag via Windows Update distribueert. De beveiligingsupdate rekent in totaal af met 75 bugs, waarvan er 11 kritiek zijn en 64 belangrijk worden genoemd.

Het lek met het grootste risico heeft de aanduiding CVE-2019-1429. Deze bug, voor het eerst ontdekt door Google Project Zero, zou volgens Microsoft actief door aanvallers worden geëxploiteerd. De kwetsbaarheid schuilt in de manier waarop de scripting engine omgaat met objecten in het geheugen van Internet Explorer. “Een aanvaller die erin slaagt het lek te misbruiken, kan dezelfde gebruikersrechten krijgen als de huidige gebruiker. Op die manier kan hij het hele systeem overnemen, programma’s installeren, data aanpassen of wissen, of nieuwe accounts aanmaken met volledige gebruiksrechten”, waarschuwt Microsoft.

Beveiligingslek CVE-2019-1429 kan niet alleen via een malafide website worden uitgebuit. Er bestaat ook een aanvalsscenario via een ActiveX-besturingselement, gemarkeerd als ‘veilig voor initialisatie’, dat door de aanvaller wordt ingesloten in een applicatie of in een Microsoft Office-document.

Tot de overige tien kritieke bugfixes behoort ook een oplossing voor CVE-2019-1457, een omzeiling van een beveiligingsfunctie in Excel die in oktober werd ontdekt en die al misbruikt werd.

Bron: Michel van der Ven, tweakers.net

Share this post:

1 Comment

  1. Fijn dat ze nog actief bezig zijn met de beveiliging van internet explorer. Edge vind ik niet fijn dus zit op chrome van google. Dit wordt vaak geupdate en voorzien van de nieuwste beveiliging features.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *