Tijdens de patchdinsdag van augustus heeft Microsoft twee beveiligingslekken verholpen die actief werden aangevallen voordat de beveiligingsupdates beschikbaar waren. Het gaat om een kritieke kwetsbaarheid in de scripting engine van Internet Explorer 11 en een spoofinglek in Windows.

Het beveiligingslek in IE11 werd ontdekt door een onderzoeker van antivirusbedrijf Kaspersky. De kwetsbaarheid zorgt ervoor dat alleen het bezoeken van een kwaadaardige of gecompromitteerde website voldoende is om een aanvaller willekeurige op het systeem uit te laten voeren met de rechten van de ingelogde gebruiker. Verdere details over de aanval zijn niet gegeven, maar IE11 was begin dit jaar ook het doelwit van een zeroday-aanval.

Het spoofinglek in Windows wordt veroorzaakt doordat het besturingssysteem digitale handtekeningen van bestanden niet goed valideert. Een aanvaller kan op deze manier beveiligingsmaatregelen die moeten voorkomen dat verkeerd gesigneerde bestanden worden geladen omzeilen en de bestanden toch uitvoeren. Deze kwetsbaarheid, aanwezig in alle ondersteunde Windows-versies, werd voor het uitkomen van de beveiligingsupdate actief aangevallen en was ook openbaar bekend. Dat laatste was niet het geval met het IE11-lek.

In totaal zijn er deze dinsdag 120 kwetsbaarheden in onder andere Windows, Edge, IE, SQL Server,.NET Framework, ASP.NET Core, Microsoft Office en de Microsoft Windows Codecs Library gepatcht. De betreffende beveiligingsupdates zullen op de meeste systemen automatisch worden geïnstalleerd.