De bug wordt verder niet in detail beschreven, maar onderzoekers hebben tegenover The Register wel aangegeven dat een hacker cross-site scripting (xss) kan veroorzaken. Met xss kan kwaadaardige code worden geïnjecteerd in een legitieme website, waardoor bezoekers van die website gevaar lopen. Daarmee is xss een van de grote pijnpunten in de wereld van internetbeveiliging.

Tegengesteld effect

Wel geven de onderzoekers aan dat de fout in IE is gekomen door een nieuwe functie die juist het risico op xss verder had moeten terugdringen. Het filter corrigeert code op het moment van bezoek, en haalt zo de lont uit potentieel gevaarlijk regels.

Security-expert Michael Coates van Aspect Security speculeert op The Register dat code dusdanig valt te schrijven dat de output consequent tot aanvalscode leidt. Dat zou in principe betekenen dat het algoritme van het filter is gekraakt.

Filter uitgeschakeld

De eerste maatregelen zijn al getroffen. Google heeft het filter op zijn eigen websites uitgeschakeld, maar weigert verdere details te geven. Microsoft is het probleem aan het onderzoeken, maar zegt niet op de hoogte te zijn van actief misbruik.

Lekken zijn overigens niet het enige probleem van het filter. False positives zijn ook al gemeld.

Bron: Techworld.nl.