Google beveiligingsonderzoeker Michael Zalewski heeft in Internet Explorer, Firefox, Chrome, Safari en Opera meer dan honderd lekken gevonden, waaronder een mogelijke zero-day in IE. Voor het onderzoek gebruikte Zalewski het programma "cross_fuzz", een cross-document DOM binding fuzzer. Veel van de gevonden kwetsbaarheden zouden door aanvallers te misbruiken zijn.

Eén van de gevonden lekken zou al bij derden bekend zijn, aldus Zalewski. "Daarom is het uitbrengen van deze tool zo belangrijk." De onderzoeker ontdekte in Internet Explorer verschillende lekken, en waarschuwde Microsoft hier al zes maanden geleden over. Toch zijn de fouten nog steeds niet opgelost. Microsoft bevestigde de bugmelding van Zalewski in juli van vorig jaar, maar nam pas weer contact op in december, nadat men door de onderzoeker was benaderd.

Uitstel
Microsoft zou de problemen in Internet Explorer hebben bevestigd en Zalewski gevraagd om het uitbrengen van de fuzzingtool uit te stellen. "Aangezien ze geen overtuigende reden konden geven waarom de problemen niet eerder waren onderzocht, heb ik dit geweigerd." In een reactie laat Microsoft Jerry Bryant weten dat zowel de softwaregigant als Zalewski in juli geen problemen hadden ontdekt.

"Op 21 december, werd er een nieuwe versie van de tool aangekondigd, en informatie over een mogelijk te misbruiken crash die door deze nieuwe versie was ontdekt." Microsoft zou nu het mogelijke probleem onderzoeken of het inderdaad te misbruiken is. Bryant haalt ook uit naar Zalewski, omdat het uitbrengen van de tool het risico voor IE-gebruikers alleen maar onnodig zou vergroten. De onderzoeker laat in zijn overzicht echter weten dat er wel degelijk in juli problemen waren gerapporteerd.

Ook in Webkit-browsers zoals Safari en Chrome werden problemen aangetroffen, maar die zijn grotendeels opgelost, wat ook geldt voor Firefox. In het geval van Opera zijn alle "relevante crashes" gepatcht, maar staan een aantal "listige crashes" nog open. Zalewski schreef eerder het Browser Security Handbook voor Google.