Microsoft ujawnił, że opracowuje łatę dla błędu URI występującego w systemach Windows XP i Windows Server 2003 z zainstalowanym Internet Explorerem 7. Wspomniany błąd pozwala atakującemu, za pomocą odpowiednio spreparowanego adresu URL, na uruchomienie dowolnego programu zainstalowanego na atakowanej maszynie. W efekcie może to doprowadzić do przejęcia kontroli nad komputerem.

Błąd nie występuje w Windows Viście, ani na komputerach, w których nie zainstalowano Internet Explorera 7. Można go jednak wykorzystać, używając całej gamy aplikacji firm trzecich: Firefoksa, Skype’a, Adobe Readera, Mirandy itp.

Występowanie luki nie jest specyficznym błędem Microsoftu. Wiele firm, jak się okazuje, popełnia podobne pomyłki przy tworzeniu swoich programów. Specjaliści zwracają uwagę, że nawet jeśli Microsoft opublikuje poprawkę do swoich produktów, to inne firmy również powinny załatać swoje aplikacje.

Petko Petkov, jeden z odkrywców luki, stwierdził: „Sądzę, że Microsoft w pełni zdaje sobie sprawę z niebezpieczeństwa i próbuje je zażegnać nie ograniczając jednocześnie elastyczności systemu operacyjnego. To trudne zadanie i nie jest to, moim zdaniem, tylko problem Microsoftu. Przecież nikt nie twierdzi, że ataki typu SQL injection to wina developerów PHP czy ASP. Tak jak i w tym przypadku, to developerzy poszczególnych aplikacji powinni upewnić się, że do systemu operacyjnego przekazywane są tylko te URL, które są prawidłowymi adresami”.