Z pierwszych informacji wynika, że problem dotyczy tylko Internet Explorera w wersji 6 - wydania 7 oraz 8 (beta) nie są zagrożone. Zdaniem jednego z analityków firmy McAfee, nowa luka może być wariantem błędu opisanego miesiąc temu na konferencji BlueHat (zorganizowanej przez Microsoft) przez cenionego specjalistę ds. bezpieczeństwa - Manuela Caballero.

Caballero, który swego czasu pracował dla Microsoftu jako ekspert od testów penetracyjnych, zdawkowo opisał podczas swojej prezentacji metodę wykradania danych wprowadzonych w oknie przeglądarki internetowej. Co ważne, owa metoda miała być skuteczna w każdej przeglądarce z plug-inem Flash (do skorzystania z niej niezbędne było uruchomienie specjalnego złośliwego skryptu).

Chińscy hakerzy postanowili najwyraźniej bliżej przyjrzeć się temu problemowi i na własną rękę odkryli metodę wykorzystania luki do ataku na Internet Explorera. Członkowie "Ph4nt0m Security Team" przygotowali już nawet odpowiednio exploita, ilustrującego przebieg ataku.

Informacja ta została już zweryfikowana i potwierdzona przez specjalistów z duńskiej firmy Secunia, specjalizującej się w monitorowaniu informacji o lukach w popularnym oprogramowaniu. Z ich analiz wynika, że błąd związany jest z walidacją danych wprowadzonych do przeglądarki (może on doprowadzić do tego, że skrypt osadzony na potencjalnie niebezpiecznej stronie zostanie uruchomiony z takimi samymi przywilejami, jak skrypt na witrynie zaufanej).

Secunia potwierdza także, że problem nie występuje w IE7 - dlatego firma zaleca użytkownikom przeglądarki Microsoftu zainstalowanie tej wersji programu (i korzystanie z niej przynajmniej do momentu, w którym koncern z Redmond przygotuje odpowiednią poprawkę dla IE6).

O problemie zostali już poinformowali przedstawiciele Microsoftu - jednak firma na razie nie komentuje tych doniesień. Nie wiadomo więc czy i kiedy powstanie poprawka usuwająca nową lukę w IE6.