De Patch Tuesday van deze maand brengt patches voor diverse kwetsbaarheden in vele Microsoft-producten. Daaronder ook alle huidge versies van webbrowser Internet Explorer: 6 tot en met 10. Securitybedrijf Vupen, dat 0-days verkoopt aan overheidsklanten, meldt dat Microsoft niet alle gaten heeft gedicht.

Pwn2Own-gaten in IE10

"Onze Pwn2Own 0-days zijn nog in leven", tweet de Franse securityfirma. Hierbij verwijst het naar de beroemde hackwedstrijd Pwn2Own waar het in de meest recente editie IE10 draaiend op Windows 8 heeft gekraakt. Bij deze kraak, die begin vorige maand is gepleegd, hebben de hackers van Vupen twee zelf ontdekte 0-days achter elkaar gebruikt om eigen code uit te kunnen voeren op een Surface-tablet met Windows 8 Pro.

Deze Pwn2Own-gaten zitten in IE10, dat nog een bescheiden marktaandeel heeft. De browser draait standaard op Windows 8 en is sinds kort pas uit voor Windows 7. Voorgangers Vista en XP krijgen IE10 niet. Deze nieuwste versie van Microsofts browser heeft wereldwijd een kleiner marktaandeel dan opvolgers 8 en 9, maar ook het antieke IE6. IE7 is wel gepasseerd, maar IE10 is kleiner dan Safari 6.0 (dat alleen draait op Mac OS X Lion en Mountain Lion).

Ook IE9 nog kwetsbaar

Ondertussen blijft ook een 0-day gat openstaan in de op één na meestgebruikte browser ter wereld. De patches die gisteren zijn uitgebracht, laten een recent gat in IE9 ongemoeid, meldt Webwerelds Amerikaanse zustersite PCworld.com. Die kwetsbaarheid is nog veel recenter dan de twee IE10-gaten die op Pwn2Own zijn gedemonstreerd. Deze 0-day maakt het niet meteen mogelijk om kwaadaardige code uit te voeren, daarvoor is een tweede exploit nodig. Verder is dit gat niet aanwezig in IE10.