Dat stelt Zalewski in de maillijst Full Disclosure. Hij beschrijft hoe cookies kunnen worden gestolen, toetsaanslagen kunnen worden bijgehouden en bestanden kunnen worden overgezet. Eén gat is kritiek volgens Zalewski. Deze komt voor in zowel IE6 als IE7. Door het lek te misbruiken kan een aanvaller Javascript-code uitvoeren op de machine van het slachtoffer.

Firefox 2.0 heeft een kwetsbaarheid in de wijze waarop het met iframe's omgaat. Dit gat wordt als 'groot' bestempeld en is vergelijkbaar met een eerder Firefox-probleem dat Mozilla inmiddels heeft gepatcht. Die patch heeft echter niet alle kwetsbaarheden gedicht, zo stelt Zalewski.

Naast deze fouten heeft de onderzoeker nog enkele andere, minder ernstige problemen geconstateerd. Zo is het onder IE6 mogelijk de adresbalk te spoofen en kan er in theorie via Firefox een download worden gestart waar de gebruiker geen toestemming voor heeft gegeven.

Mozilla is op de hoogte van de bugs en ze aangemeld op de Bugzilla-lijst. Microsoft onderzoekt momenteel de bevindingen van de onderzoeker en stelt actie te ondernemen indien dat nodig blijkt te zijn.