De bug maakt het mogelijk om toegang te krijgen tot bestanden van een surfer, zonder dat die wat in de gaten krijgt. De toegang tot de harde schijf beperkt zich volgens productmanager IE Onno Hector van Microsoft Nederland tot tekst-, HTML- en grafische bestanden. "Databases en andere bestandstypen blijven verborgen, en bovendien kan de hacker alleen bestanden lezen, niet schrijven of overschrijven." Het lek is vorige week ontdekt door consultant Ralf Hueskes van het Duitse bedrijf Jabadoo Communications. Volgens Hueskes heeft de fout direct te maken met DHTML. "Als een kwaadwillend figuur de exacte locatie van een bestand weet kan hij het lezen." Om de bug uit te buiten moet je in een webpagina je twee frames inbouwen. Die hoeven slechts een pixel groot te zijn. Met behulp van Dynamic HTML zorgt het eerste frame door een Script-code voor de exacte plaats van het bestand op de harde schijf van de websurfer. Het tweede frame opent dat bestand en kan het via de browser zelf, of via de client Outlook Express, opsturen naar een bepaald adres. Het verraderlijke is dat dit allemaal gebeurt in een onzichtbaar venster. En omdat de frames maar 1 pixel groot zijn, zie je ook op de webpagina niks gebeuren. De bevindingen van Hueskes staan op de website van Jabadoo. Inmiddels is er een patch van Microsoft beschikbaar: http://www.microsoft.com/ie/security/?/ie/security/freiburg.htm .Volgens Hector kunnen gebruikers die niet over de bugfix beschikken problemen voorkomen door hun configuratie aan te passen. "Gebruikers kunnen in hun 'security zone'-instellingen aangeven dat de Active Scripting uit moet staan." Deze instelling is opgenomen in het menu Views - Internet Options - Security - Custom - Settings - Scripting.