Zowel Microsoft als Adobe waarschuwen voor zero-day-kwetsbaarheden in respectievelijk Internet Explorer op Windows en Flash. Het kritieke lek in Flash is voor alle desktopbesturingssystemen die de speler gebruiken potentieel gevaarlijk.

Gepatcht
De Windows-bug wordt actief misbruikt, schrijft Ars Technica, maar is gepatcht in de laatste 'patch-dinsdag'-ronde van 10 mei. Het beveiligingsprobleem geeft aanvallers de mogelijkheid om kwaadaardige code uit te voeren als een kwetsbare computer een daarvoor bewerkte website bezoekt via Internet Explorer. Het beveiligingslek dat bekendstaat als CVE-2016-0189 is al misbruikt bij Zuid-Koreaanse websites.

Een bericht op Symantec legt uit waarom Zuid-Korea hier extra gevoelig voor is, namelijk doordat de regering in dat land in 1999 een wet introduceerde die van online verkopers eiste dat deze gebruikmaken van een lokale SEED-blokvercijfering die op ActiveX leunt. Omdat ActiveX alleen via Internet Explorer werkt, wordt de browser nog steeds veel gebruikt in het land, al wil de regering de regel schrappen. De exploit zelf heeft ActiveX niet nodig en maakt gebruik van kwetsbaarheden in de JScript- en VBScript-engines.

Adobe Flash
De nieuw ontdekte kwetsbaarheid in Flash geeft aanvallers ook de mogelijkheid een machine op afstand over te nemen en werd ontdekt door onderzoekers van FireEye. De kwetsbaarheid wordt al misbruikt. Adobe zegt op donderdag 12 mei een patch af te hebben voor CVE-2016-4117.

Flash wordt al jaren geplaagd door kwetsbaarheden, maar is ondanks het verminderde aantal websites dat de plugin nodig heeft, nog steeds niet volledig onmisbaar. Deïnstalleren is de veiligste optie, maar een alternatief is 'click-to-play' te activeren in de browser- of plug-in-instellingen. Flash-elementen worden dan niet meer standaard geladen. Tweakers schreef onlangs een achtergrondartikel bij deze 'gevaarlijkste plugin van internet'.