Dotychczasowe wyniki trwającego badania wykazały, że programy Internet Explorer 8 i Internet Explorer 5.01 z dodatkiem SP4 w systemie Microsoft Windows 2000 z dodatkiem SP4 nie są zagrożone, natomiast zagrożenie dotyczy programów Internet Explorer 6 z dodatkiem SP1 w systemie Microsoft Windows 2000 z dodatkiem SP4, Internet Explorer 6 i Internet Explorer 7.
Luka w zabezpieczeniach wynika z nieprawidłowego odwołania do wskaźnika używanego w programie Internet Explorer. W określonych warunkach można uzyskać dostęp do nieprawidłowego wskaźnika po tym, jak obiekt został usunięty. Podczas specjalnie spreparowanego ataku próba uzyskania dostępu za pomocą programu Internet Explorer do zwolnionego obiektu może prowadzić do zdalnego uruchomienia kodu. Microsoft informuje, że obecnie nie są znane przykłady potwierdzonych ataków, w których wykorzystano omawianą lukę.
W przypadku systemów Windows Vista i Windows 7 ryzyko ataku z wykorzystaniem luki jest ograniczone gdy tryb ochrony jest włączony. Microsoft wciąż analizuje problem i pracuje nad jego rozwiązaniem.
Źródło: Microsoft