De afgelopen 19 maanden hebben aanvallers tenminste 89 dagen bij elkaar beveiligingslekken in Internet Explorer misbruikt waarvoor nog geen update beschikbaar was. Via de zero-day kwetsbaarheden werd er bij organisaties en bedrijven ingebroken. De cijfers zijn afkomstig van IT-journalist Brian Krebs, die zich baseerde op de meldingen van nieuwe lekken in Microsoft's browser en de datum dat er een update verscheen.

In 2012 zijn er tot nu toe drie zero-days misbruikt. Ook in 2011 werden er drie zero-day kwetsbaarheden voor gerichte aanvallen gebruikt. (CVE-2010-3971, CVE-2011-0094, CVE-2011-0096, CVE-2012-1875, CVE-2012-1889, CVE-2012-4969)

Het werkelijke aantal dagen dat IE-gebruikers kwetsbaar waren ligt waarschijnlijk veel hoger, omdat bij één IE-lek onbekend is wanneer het werd misbruikt. Krebs reageert op uitspraken van Rik Ferguson van Trend Micro. Die stelde onlangs dat IE-gebruikers vanwege het recent ontdekte en inmiddels gepatchte lek beter niet op een andere browser konden overstappen.

Zero-days
Andere browsers zouden namelijk ook kwetsbaarheden bevatten. Die worden echter niet actief gebruikt voor het inbreken bij organisaties. Voor Google Chrome is er nog geen enkel zero-day lek bekend dat werd misbruikt voordat een patch beschikbaar was.

In het geval van Firefox dateert de laatst waargenomen zero-day aanval uit oktober 2010. Om de veiligheid van een browser te beoordelen of om een andere browser over te stappen moet dan ook naar actieve aanvallen te kijken in plaats van gepatchte beveiligingslekken, stelt Krebs.