Microsoft udostępnił poprawkę usuwającą lukę dotyczącą bezpieczeństwa w swoim oprogramowaniu tzw. maszyny wirtualnej (VM). Dzięki wykorzystaniu tego błędu hakerzy mogli przejąć pełną kontrolę nad komputerem wybranego użytkownika.

Maszyna wirtualna, stanowiąca część przeglądarki Internet Explorer oraz takich produktów, jak Virtual Studio, pozwala na tworzenie i uruchamiania kontrolek ActiveX. Zgodnie z założeniem z funkcjonalności tej może korzystać jedynie certyfikowany aplet Javy. Jednak luka umożliwia uruchomianie kontrolek ActiveX nawet nie zarejestrowanym apletom.

"Jeżeli taki aplet znajduje się na specjalnie spreparowanej stronie WWW, jej właściciel może wymusić realizację operacji dozwolonych jedynie dla apletów certyfikowanych jako zaufane" - twierdzi Microsoft.

Autor, który zachęci użytkownika do odwiedzenia podstępnie przygotowanej strony, może wykorzystać lukę w maszynie wirtualnej do przejęcia pełnej kontroli nad systemem użytkownika. Zagrożenie atakiem istnieje nawet wtedy, gdy użytkownik włączy w Internet Explorerze opcję zabraniającą uruchamiania nie certyfikowanych kontrolek ActiveX. Jest to spowodowane tym, że błąd dotyczy maszyny wirtualnej, a nie kontrolek ActiveX.

Według Microsoftu najczęstszym sposobem ataku, wykorzystującym tę dziurę, jest poczta elektroniczna rozsyłana w formacie HTML, zawierająca odnośniki do niebezpiecznych stron WWW.

Błąd dotyczy przeglądarek Internet Explorer w wersji 4.x lub 5.x. Użytkownicy pozostałych wersji powinni sprawdzić numer wbudowanej maszyny wirtualnej. Szczegółowe informacje i poprawki znajdują się na stronach internetowych Microsoftu.