Internet sử dụng nền tảng bảo mật dựa theo khu vực, nó sẽ nhóm các site lại dựa trên một số điều kiện cụ thể, như nó có phải là site trên Internet hay Intranet hoặc có nằm trong danh sách trắng do người dùng ghi nhận hay không. Các hạn chế bảo mật được áp dụng theo khu vực; tất cả các site trong một khu vực sẽ tuân theo cùng một hạn chế.

Internet Explorer 6 SP2 trở về sau sử dụng Dịch vụ Thực thi Đính kèm (Attachment Execution Service) của Microsoft Windows để đánh các tập tin thực thi được tải về từ Internet có thể không an toàn. Khi truy cập các tập tin được đánh dấu như vậy, trình duyệt sẽ nhắc người dùng phải có quyết định tin tưởng trước khi thực thi, vì các tập tin thực thi xuất phát từ Internet có thể có nhiều nguy cơ không an toàn. Cách làm này giúp ngăn ngừa việc cài đặt phần mềm độc hại một cách vô ý.

Internet Explorer 7 giới thiệu bộ lọc chống lừa đảo (phishing), hạn chế truy cập đến các site phishing trừ khi người dùng quyết định tiếp tục xem. Với phiên bản 8, trình duyệt còn khóa truy cập vào trang site được biết là đang lưu trữ phần mềm độc hại (malware). Việc tải về cũng được kiểm tra để xem chúng có từng được báo là nhiễm phần mềm độc hại hay không.

Trong Windows Vista, Internet Explorer mặc định chạy trong chế độ có tên là Chế độ Bảo vệ (Protected Mode), trong đó đặc quyền của chính trình duyệt bị hạn chế đáng kể - nó không thể thực hiện thay đổi hệ thống. Người dùng có thể tắt chế độ này nhưng không được khuyến khích. Nó cũng hạn chế hiệu quả đặc quyền của các trình bổ sung (add-on). Kết quả là thậm chí nếu trình duyệt hoặc trình bổ sung nào bị khống chế, những thiệt hại bảo mật vẫn rất hạn chế.

Các bản vá và bản cập nhật trình duyệt được phát hành định kỳ và có thể tải về thông qua dịch vụ Microsoft Update, cũng như thông qua Automatic Updates. Mặc dù các bản vá bảo mật tiếp tục được phát hành cho nhiều hệ điều hành, đa số các bổ sung tính năng hay cải tiến nền tảng bảo mật chỉ có mặt cho các hệ điều hành đang trong giai đoạn hỗ trợ chủ yếu của Microsoft.

Vào ngày 16 tháng 12 năm 2008, Trend Micro khuyến cáo người dùng chuyển sang các trình duyệt đối thủ cho đến khi IE phát hành bản vá khẩn cấp để sửa một nguy cơ bảo mật có thể cho phép những kẻ bên ngoài tiếm quyền điều khiển máy tính và ăn cắp mật khẩu của bạn. Người đại diện của Microsoft phản đối đề nghị này, cho rằng chỉ có "0,02% người dùng Internet" bị ảnh hưởng bởi lỗi này. Vào ngày 17 tháng 12 năm 2008, Microsoft phát hành bản vá vấn đề bảo mật này trong bản Cập nhật Bảo mật dành cho Internet Explorer KB960714[46][47].

Dễ tổn thương về bảo mật

Internet Explorer luôn là chủ đề của nhiều lỗ hổng và lo ngại về bảo mật: Nhiều phần mềm gián điệp, phần mềm quảng cáo, và virus máy tính trên Internet đã khai thác các lỗi và lỗ hổng trong kiến trúc bảo mật của Internet Explorer, đôi khi không phá hoại trực tiếp ngoài việc khiến người dùng xem một trang web độc hại nào đó để tự cài chúng vào máy. Kiểu phá hoại này có tên "drive-by install". Cũng có loại phần mềm lừa người dùng cài đặt phần mềm độc hại bằng cách giới thiệu một cách giả mạo mục đích tốt đẹp của phần mềm trong phần miêu tả của một cảnh báo bảo mật ActiveX.

Một số lỗ hổng bảo mật ảnh hưởng đến IE không phải xuất phát từ trình duyệt, mà từ các trình bổ sung ActiveX mà IE sử dụng. Vì những trình bổ sung này có cùng đặc quyền với IE, những lỗ hổng này cũng nguy hiểm như lỗ hổng từ trình duyệt. Do đó kiến trúc dựa trên ActiveX này đã bị chỉ trích rất nhiều. Gần đây, nhiều chuyên gia khác vẫn bảo lưu quan điểm rằng các nguy hiểm từ ActiveX đã bị phóng đại và vẫn có những cách bảo vệ đúng nơi đúng lúc. Các trình duyệt khác sử dụng NPAPI làm cơ chế mở rộng cũng đang gặp vấn đề y hệt. Trong cột ý kiến trong tờ tháng 4 năm 2005 của eWeek, Larry Seltzer cho rằng:

Trong khi đã có những lời cáo buộc thiếu chứng cứ rằng ActiveX thiếu an toàn, tiếp tục vẫn không ít lời xác nhận thiếu chứng cứ và tấn công rẻ tiền. Điều tôi ưa thích là vụ việc "Internet Explorer" trong đó Sun thực sự trả tiền cho người khác để viết một ActiveX control độc hại. Hệ thống kiểm thử đưa ra tất cả các hộp thoại cảnh báo về chương trình mà bạn vẫn thường hay thấy còn các nhân viên Sun thì thấy khó chịu khi cứ phải nhấn phím enter thật nhanh để họ có thể đóng hộp thoại đó càng nhanh càng tốt mà không đề cập đến các cảnh báo. Trong khi đó, họ cũng không đề cập đến việc một Java applet đã ký cũng có thể thực hiện các hành vi đặc quyền nguy hiểm và cũng đưa ra cùng kiểu cảnh báo như vậy. Đa số những người chỉ trích ActiveX đơn giản là do không hiểu rõ, nhưng ví dụ này thật là đạo đức giả và thiếu chân thật[48]

.

Tuy Internet Explorer vào năm 2008 có số lỗ hổng bảo mật tương tự với Safari và Opera, và ít hơn đáng kể cho với đối thủ cạnh tranh chính, Mozilla Firefox, sự phổ biến của nó đã dẫn đến có nhiều người bị ảnh hưởng hơn khi có một lỗ hổng bị phát hiện. Theo nghiên cứu của công ty nghiên cứu bảo mật Secunia, Microsoft đã không hồi đáp nhanh bằng các đối thủ cạnh tranh trong việc sửa các lỗ hổng bảo mật và đưa ra các bản vá[49]. Công ty này cũng báo cáo rằng có 366 lỗ hổng tìm thấy trong các ActiveX control, tăng hơn so với năm trước.