Tất cả các phiên bản Internet Explorer được hỗ trợ đều dễ bị tấn công bởi Khai thác zero-day hiện đang được khai thác trong các cuộc tấn công nhắm mục tiêu vào IE 8 và IE 9, được đặt tên là “Giải pháp Shim CVE-2013-3893 MSHTML“.
Microsoft xác nhận rằng lỗ hổng này chưa được biết đến trước các cuộc tấn công và lỗ hổng này đã được phát hành trên một bản vá chính thức, trong khi đó Microsoft đã phát hành một bản sửa lỗi phần mềm khẩn cấp cho trình duyệt Web Internet Explorer (IE).
Tư vấn lưu ý rằng Microsoft đang điều tra các báo cáo công khai về lỗ hổng thực thi mã từ xa trong Internet Explorer.
Sự cố này có thể cho phép thực thi mã từ xa nếu hệ thống bị ảnh hưởng duyệt đến trang web chứa nội dung độc hại hướng đến loại trình duyệt cụ thể. Nạn nhân có thể bị lây nhiễm mặc dù đã áp dụng tất cả các biện pháp đối phó cần thiết do bản chất của lỗ hổng chưa được biết trước đó.
Lỗ hổng gần đây đã bị tin tặc nhắm đến trong các cuộc tấn công là khá nghiêm trọng và phức tạp để khắc phục. Các nhóm tin tặc do nhà nước tài trợ thường sẵn sàng trả hàng trăm nghìn đô la cho các lỗ hổng zero-day trong phần mềm được sử dụng rộng rãi như Internet Explorer.
Trong trường hợp cụ thể, nếu kẻ tấn công khai thác thành công lỗ hổng zero-day có thể có được quyền người dùng giống như người dùng hiện tại, vì lý do này, MS xác nhận rằng tài khoản của người được định cấu hình để có ít quyền người dùng hơn trên hệ thống sẽ ít bị ảnh hưởng hơn so với người dùng có hoạt động với quyền người dùng quản trị.
