De kwetsbaarheid werd op 9 december ontdekt door beveiligingsfirma Vupen, en kan gebruikt worden door aanvallers via een zogenaamde "drive by" aanval. Volgens Microsoft ontstaat het gat door het creeren van extra geheugen tijdens een Cascading Style Sheet (CSS) functie in Internet Explorer (IE). Onder sommige omstandigheden kan het geheugen gebruikt worden door een aanvaller die een website gebruikt om kwaadwaardige code op afstand uit te voeren, of de machine over te nemen.

IE 6, 7 en 8 zijn kwetsbaar. Het is onduidelijk of de betaversie van IE9 ook vatbaar is voor dergelijke aanvallen. Op 22 december waarschuwde Microsoft officieel voor het gat. De softwaregigant zei toen de problemen te onderzoeken. Gebruikers werd aangeraden om de veilige modus in Windows Vista en Windows 7 te gebruiken. Voor Windows Server 2003 en 2008 werd de Enhanced Security Configuration aanbevolen.

Standaard beveiliging

Later gaf het sofwarebedrijf gedetailleerder advies en erkende dat het Metasploit Project een proof-of-concept exploit had gemaakt voor het gat. Er werd een bekende techniek gebruikt om de standaard beveiliging in Windows, de Address Space Layout Randomization (ASLR) en de Data Execution Prevention (DEP) te omzeilen. Beide programma's zijn juist bedoeld om schade die kan worden aangebracht door ongewenste code te beperken.

Microsoft raadt iedereen nu aan om de Enhanced Mitigation Experience Toolkit als een workaround te gebruiken om het gat te dichten. Het versterkt ASLR en geeft een melding als de exploit het geheugenniveau probeert te bereiken dat het nodig heeft. Dat proces wordt ook afgebroken. Microsoft werkt aan een patch die vrij wordt gegeven zodra die af is, bericht TechTarget.

Onwaarschijnlijk

Als gebruikers het advies opvolgen is er weinig aan de hand, volgens Paul Ducklin, hoofd technologie van antivirusbedrijf Sophos in Azie. Op zijn blog wijst hij erop dat een geslaagde exploit alleen werkt als er zich een onwaarschijnlijk scenario voordoet.

Voor een tweede zeroday lek heeft Microsoft nog geen oplossing voorhanden.