Microsoft heeft gisteren informatie over vijf zero-day beveiligingslekken in Internet Explorer ontvangen. De details zijn afkomstig van het Zero Day Initiative, onderdeel van HP's TippingPoint divisie. Het bedrijf betaalt onderzoekers die kwetsbaarheden ontdekken en meldt die vervolgens aan de leverancier, zodat die maatregelen kan nemen. TippingPoint organiseerde onlangs de Pwn2Own-hackerwedstrijd. Deelnemers konden tienduizenden euro's winnen door het hacken van Google Chrome, Firefox, Internet Explorer en Safari.

Op de tweede dag sneuvelde IE9. De details hiervan zouden afgelopen maandag aan Microsoft gerapporteerd zijn, maar dat blijkt gisteren gebeurd te zijn. Toch is dat niet de enige kwetsbaarheid in de software van Microsoft die nu gemeld is. Via Twitter meldt het Zero Day Initiative dat het in ieder geval om vijf zero-day kwetsbaarheden in Internet Explorer gaat.

Score
Voor zero-day lekken zijn nog geen patches beschikbaar, wat betekent dat alle IE-gebruikers risico lopen. Verdere details worden echter niet gegeven, behalve de CVSS score. De kwetsbaarheden waarmee het Franse VUPEN IE9 wist te hacken scoort een 9 op de schaal van 10, terwijl de nieuwe zero-day lekken een 7,5 scoren.

Verder werd deze week duidelijk dat zero-day lekken vaak door meerdere personen worden ontdekt. Het lek waardoor Firefox tijdens Pwn2Own sneuvelde was al door Mozilla in de bètaversie gepatcht, maar werd nogmaals door een andere onderzoeker ontdekt. Ook uit onderzoek van TippingPoint blijkt dat hackers steeds vaker dezelfde lekken vinden.