Specjaliści z firmy Rapid7 odkryli lukę w Internet Explorerze 5 i 6. Pozwala ona na zmuszenie przeglądarki do wysyłania poleceń FTP. Cyberprzestępcy mogą jej użyć do kasowania, kradzieży i wgrywania plików na zaatakowany komputer.

Problem leży w nieodpowiednim filtrowaniu adresów FTP przez obie przeglądarki. Wstawiając w URL-u znak powrotu karetki i nowej linii w adresie FTP można umieścić polecenia, które zostaną wykonane przez serwer.

Operacje na plikach wymagają jednak, by konto, z którego został przeprowadzony atak, miało odpowiednie uprawnienia dostępu.

Microsoft został poinformowany o błędzie i pracuje nad poprawką. Rozwiązaniem problemu może być też przejście na Internet Explorera 7, w którym dziura nie występuje.