De bug is deze week ontdekt door beveiligingsonderzoeker Manuel Caballero en gepubliceerd op de Broken Browser website.

"Als een script wordt uitgevoerd binnen een object-html tag, raakt het location-object in de war en wordt de hoofdlocatie teruggestuurd in plaats van de eigen locatie. Dat betekent dat tekst, geschreven in de adresbalk, wordt verzonden naar dat object. Alles wat de gebruiker daar dus typt is zichtbaar voor aanvallers," aldus Caballero.

De beveiligingsonderzoeker heeft een proof of concept-pagina gebouwd waarop gebruikers kunnen testen of hun browser vatbaar is voor dit lek. Tot nu toe blijken alle moderne versies van Internet Explorer kwetsbaar te zijn en er is nog geen workaround of patch voor handen.