Die Lücke tritt zutage, wenn bestimmte Style-Elemente über die JavaScript-Methode getElementsByTagName aufgerufen werden. Zeigt der entsprechende Zeiger auf ein bereits gelöschtes Element, stürzt der Browser ab, während gleichzeitig eingeschleuster Code zur Ausführung gelangt. Bereits am Wochenende wurde ein Proof of Concept veröffentlicht, der diese Lücke ausnutzt, und es dürfte nicht lange dauern, bis Kriminelle daraus echten Schadcode generiert haben.
Microsoft rät, die Sicherheitseinstellungen für den Internet Explorer in der Internet- und lokalen Intranet-Zone auf "hoch" zu setzen. Noch sicherer, aber meist nicht praktikabel, dürfte es sein, Active Scripting komplett zu deaktivieren.
Wer bereits den Internet Explorer 8 verwendet, muss weiter nichts unternehmen: Die entdeckte Sicherheitslücke greift in diesem Browser nicht.