Een kritische kwetsbaarheid met de identificatiecode CVE-2020-0674 is door Microsoft gepubliceerd. Het staat aanvallers toe om code op afstand uit te voeren met behulp van de JScript.dll bibliotheek. Op dit moment wordt er gewerkt aan de ontwikkeling van een patch.

Op de eerste patchdag in 2020 bracht Microsoft 49 updates uit – kort daarna meldde de leverancier een nieuwe zero-day veiligheidslek in Internet Explorer. Code op afstand wordt uitgevoerd, objecten worden in het geheugen verwerkt met behulp van de scripttaal (“scripting engine”) en getriggerd door de JScript.dll bibliotheek.

Op dit punt bestaat het risico van uitbuiting: de kwetsbaarheid stelt een aanvaller in staat om het  geheugen te beschadigen. Hierdoor zou een aanvaller op afstand in staat kunnen zijn om willekeurige code uit te voeren in de hoedanigheid van de eigenlijke gebruiker. Afhankelijk van de administratieve gebruikersrechten waarmee deze persoon momenteel is ingelogd, kan in het ergste geval de controle over het betrokken systeem worden overgenomen. De mogelijke gevolgen: Ongewenste programma’s kunnen worden geïnstalleerd, gevoelige maar ook operationeel relevante gegevens kunnen worden bekeken, gewijzigd of verwijderd.  Met een beetje geluk kan een hacker met uitgebreide gebruikersrechten zelfs nieuwe accounts aanmaken.

Betroffen versies

De betroffen webbrowser: Internet Explorer 9, 10 en 11 die op alle versies van Windows 10, 8.1 en de onlangs stopgezette Windows 7 draait. In de officiële verklaring van Microsoft ADV200001 is een workaround opgenomen om de kwetsbare systemen van gebruikers te beschermen als ze afhankelijk zijn van Internet Explorer. Het wordt echter sterk aanbevolen om de kwetsbare browsers niet te gebruiken totdat dit lek is verholpen.