A Microsoft honlapján a pénteki napon egy új előzetes biztonsági értesítőt tett közzé, amelyben ügyfelei figyelmét egy operációs rendszereiben frissen felfedezett hibára hívja fel. A minden valószínűség szerint majdan kritikus besorolást kapó biztonsági rés kihasználásával távoli támadók tetszőleges programkód futtatására válnak képessé a sebezhető Windows rendszereken, amelyhez mindössze egy általuk üzemeltetett weblapra kell csalniuk a gyanútlan felhasználókat.
A Microsoft operációs rendszereinek megtámadását azok beépített böngészője, az Internet Explorer teszi lehetővé, egészen pontosan az általa megbízhatóként nyilvántartott és a telepítéseken alapértelmezésben megtalálható XML Core Services komponens ActiveX moduljának egy hibáján keresztül. A biztonsági rést kihasználva rosszindulatú weboldalak tetszőleges programkódot injektálhatnak a böngészőbe, amely a szoftver futtató felhasználó jogosultságai mellett bármilyen műveletet elvégezhet a sebezhető gépeken. Ez utóbbiba kémprogramok telepítése éppen úgy beletartozhat, mint például spam terjesztésére használható ún. botok installálása.
A biztonsági hiba által jelentett fenyegetés súlyoságát növeli, hogy egyes beszámolók szerint több weboldalon már aktívan ki is használják azt, különböző rosszindulatú programok terjesztésére, valamint, hogy az Internet Explorer 6 mellett a böngésző új, 7-es kiadását is érinti, és valamennyi jelenleg is támogatott Windows platformon kihasználható. Az egyetlen kivételt a Windows Server 2003 képezi, amely alapbeállítások mellett nem sebezhető, mert teljes mértékben tiltva van benne az ActiveX modulok használata.
A javítás megjelenéséig a felhasználók a hiba kihasználása ellen legegyszerűbben az oldalunkról elérhető - az érintett ActiveX vezérlő az Internet Explorerben történő felhasználását letiltó - regisztrációs módosítás alkalmazásával, a Microsoft értesítőjeben leírt biztonsági beállítások, esetleg egy alternatív - a technológiát nem támogató - böngésző használatával védekezhetnek.
