2016. január 12-től több operációs rendszer esetében megszűnik az Internet Explorer böngésző régebbi verzióinak Microsoft általi támogatása. Ezekhez a böngészőkhöz ezt követően nem érkeznek biztonsági frissítések, így ezen alkalmazások használata a későbbiekben biztonsági kockázatot rejthet magában. 

A 0. napi ún. "use after free" sérülékenységről a FireEye információbiztonsági cég számolt be. A sérülékenység az IE6-tól a IE11-es verziókat érinti. Kihasználásával megkerülhető az ASLR és a DEP rendszerszintű védelem, amelynek eredményeképpen a támadó saját kódot futtathat le az áldozat számítógépén.

Az NSS Labs által végzett teszt szerint a Microsoft Internet Explorer 10 - a fejlettebb URL és alkalmazás reputációs technológiának köszönhetően - jobban teljesít abban, hogy blokkolja a káros szoftverek letöltését, mint a rivális Chrome, Firefox, Safari vagy Opera böngészők. A böngészők biztonsági megoldásai egyre több és több rétegből tevődnek össze, így növekszik a komplexitásuk. Bár a legtöbb felhasználó számára átláthatatlan hogyan működik ez a dolog, a kutatók figyelemre méltó és meglepő különbségeket vettek észre a legelterjedtebb böngészők között. Mindegyik szoftverből a legfrissebb verziót használva, 754 káros szoftverrel, 28 napnál régebben fertőzött URL-en tesztelve az Internet Explorer 99,9%-os blokkolási arányt ért el, szemben a Chrome 83,1, a Firefox 10, a Safari 9,9 és az Opera 1,8%-val szemben.

Biztonsági kutatók pénteken jelentették be, hogy egy olyan eddig ismeretlen és jelenleg még javítás nélküli sérülékenységet fedeztek fel az Internet Explorer-ben, amelyet kihasználva a támadók szövetségi alkalmazottak számítógépére telepítettek káros szoftvereket. Az Invincea szakértői szerint a támadásban használt kód egy a Windows XP operációs rendszeren futó Internet Explorer 8-as verzióban lévő 0-day sérülékenységet használ ki. Az értesülések szerint a Windows 7 szintén sérülékeny lehet. A Microsoft szerint az Internet Explorer 6, 7 illetve a 9 és 10 verzióját nem érinti a sérülékenység.

A népszerű hacker verseny, a Pwn2Own az egész világról vonzza azokat a biztonsági szakembereket, akik a legelterjedtebb böngészőket, valamint a hozzájuk tartozó 3rd party szoftvereket (Java, Flash) próbálják megfektetni. A VUPEN és az MWR Labs szakértő képesek voltak legyőzni a Windows 8-on futó Internet Explorer 10-et, a Mozilla Firefox-ot és a Google Chrome Windows verzióját is. Azonban ellentétben a Mozillával és a Google-lel - akik már 24 órával később frissítettek - a Microsoft még a mostani patch kedd alkalmával sem adta ki a javítást a sérülékenységre.

A Microsoft hétfőn fogja kiadni azt a javítást, amely a régebbi Internet Explorer böngészők nemrégiben felfedezett kritikus sérülékenységét fogja javítani. A gyártó a probléma súlyossága miatt tér el a normális hibajavítási menetrendtől. A sérülékenység, amely a böngésző 6, 7 és 8 verzióját veszélyezteti, egy memória korrupciós hiba, amelyet a támadó az ún. drive-by download módszerrel tud kihasználni, amely a gyakorlatban azt jelenti, hogy ha a felhasználó meglátogat egy káros weboldalt, akkor egy rosszindulatú kód fog lefutni a böngészőjében. A gyártó a hónap elején már kiadott egy gyors javítást, de a végleges nem készült el a szokásos patch keddig.

A Microsoft megerősítette, hogy egy 0-day sérülékenységet találtak az Internet Explorer régebbi verzióiban, amelyet kihasználva át lehet venni egy Windows-os számítógép feletti irányítást. A vállalat közleménye tartalmazza a workaround-ot is, amely segítségével ideiglenesen meg lehet oldani a problémát. A közlemény felhívja a figyelmet arra is, hogy az Internet Explorer-ben lévő sérülékenységet célzott támadásokban jelenleg is megpróbálják kihasználni. A sérülékenységet a böngésző memória kezelését érinti, és az IE 6, 7 és 8 verzióiban fedezték fel.

A Microsoft Internet Explorer egy sérülékenységét fedezték fel, amely lehetővé teszi a hacker-ek számára, hogy nyomon kövessék az egér mozgását a képernyőn, és ezzel a módszerrel megismerhetik a virtuális billentyűzeteken bevitt adatokat. Az ilyen virtuális billentyűzeteket arra használják, hogy csökkentsék annak esélyét, hogy egy billentyű leütéseket naplózó program segítségével a hacker-ek megtudják a felhasználók jelszavát. Azonban a Spider.io által felfedezett sérülékenységet kihasználva az Internet Explorer 6 és 10 közti verzióiban "le lehet hallgatni" az egér mozgását még abban az esetben is, amikor a böngésző a tálcára van téve.

A Microsoft hetekkel korábban tudott a múlt héten megjelent Internet Explorer 0-day sérülékenységről, legalábbis erre utal a cég által kiadott biztonsági figyelmeztetés. A sérülékenység - amire pénteken adtak ki egy sürgősségi vagy soron kívüli javítást - szeptember 15.-én vált nyilvánossá, amikor egy biztonsági szakértő exploit-ot talált egy feltört szerveren. A hírre reagálva a Microsoft 3 napon belül kiadott egy eszközt, amivel blokkolni lehetett a sérülékenységet, újabb 3 napon belül pedig kiadta a gyorsjavítást. Azonban úgy tűnik, hogy a redmondi cég már jóval korábban tudott a hibáról. Az MS12-063 security bulletin-ben már szerepel a Hewlett-Packard TippingPoint és a Zero Day Initiative (ZDI), akik tájékoztatták a gyártót a 0-day sérülékenységről.

A Microsoft ígéretet tett arra, hogy néhány napon belül kiad egy javítást a most felfedezett kritikus Internet Explorer sérülékenységre. Ha a felhasználók el akarják kerülni a kockázatot, akkor jelenleg csak egy workaround-ot használhatnak, illetve áttérhetnek másik böngésző használatára a javítás kiadásáig. A Microsoft Trustworthy Computing vezetője Yunsun Wee egy blogposztban azt ígérte, hogy a javítás egy kattintásos, könnyen telepíthető formában fog érkezni, amit bármelyik Internet Explorer felhasználó tud telepíteni. Azonban a végleges javítás nem korlátozódik csak erre, hanem a vállalat teljes védelmet ígér a problémára, amely a szokásos módon érkezik majd meg a felhasználókhoz.