De veiligheidsproblemen doen zich voor in een aantal versies van Internet Explorer, het besturingssysteem Windows XP, Microsofts databasesoftware SQL Server 2000 en Commerce Server 2000 (software voor e-commerce websites). Twee van de patches moeten problemen in de Internet Explorer oplossen en moeten het onterecht buitmaken van informatie van gebruikers tegengaan. Het eerste gat doet zich voor in de versies 5.01, 5.5 en 6.0 van Internet Explorer. Een websitebeheerder kan met een stukje aangepaste code via een website toegang krijgen tot de informatie op de computer van gebruikers of desgewenst de gegevens die in een webbrowser ingetikt wordt boven water halen. Volgens Microsoft is het heel goed mogelijk dat door dit probleem inlognamen, wachtwoorden en creditcardnummers buitgemaakt kunnen worden. Het probleem zit in de manier waarop de Internet Explorer met VBScripts in frames omgaat. Normaalgesproken hebben scripts in een bepaalde site of bepaald domein geen toegang tot de inhoud van frames in een andere site of ander domein. Maar door de manier waarop IE omgaat met VBScripts, blijkt het wel mogelijk te zijn dat er informatie vergaard kan worden van een andere site of uit een ander domein.

XMLHTTP-bug

Het tweede probleem waarbij informatie buitgemaakt kan worden doet zich voor in Internet Explorer 6.0 maar is ook van toepassing op Windows XP en databaseserver SQL Server 2000. Als in deze gevallen een internetter overgehaald wordt om naar een aangepaste website te gaan, kan de aanvaller informatie op het systeem van de gebruiker buitmaken. Dit probleem, omgedoopt tot XMLHTTP-bug, is al een langer bestaand probleem. Het XMLHTTP protocol in Microsofts XML Core Services houdt zich niet aan de instellingen van het beveiligingsniveau in Internet Explorer. Een bestand op de computer van een gebruiker kan aangemerkt worden als een XML gegevensbron en aldus geraadpleegd worden.

E-Commerce

Tot slot meldt Microsoft dat het een probleem heeft ontdekt met een buffer overrun in zijn Commerce Server 2000, software die gebruikt wordt bij de ondersteuning van e-commerce websites. Microsoft heeft dit probleem ontdekt naar aanleiding van de verscherpte aandacht voor veiligheidslekken in zijn software. Als een aanvaller het gat misbruikt is het mogelijk dat hij volledige toegang verkrijgt over het systeem waarop de Commerce Server 2000-software draait.

Patches

Voor alle problemen heeft Microsoft per direct patches beschikbaar gesteld. Deze zijn te vinden op de webpagina's van Microsofts TechNet. De eerste patch lost het VBScript probleem in versies van IE op. De tweede patch pakt het XMLHTTP probleem aan in IE6, Windows XP en SQL Server 2000 en de laatste patch moet het veiligheidsgat in de e-commerce software van Microsoft oplossen.