在上周四发表的一份安全公告中,微软表示将通过安全升级包修正该缺陷,但没有披露会在何时发布该升级包。但微软在上周五表示,它可能为发布这款升级包而打破正常发布周期。微软安全响应中心的计划经理斯蒂芬说,每当出现利用缺陷的恶意代码时,我们都会讨论打破正常发布周期的问题。这也是微软在一周内遭遇的第三个缺陷。它与IE处理网页中的“createTextRange ()”标志有关,通过设计一个使用了特定代码的网页,黑客就可以通过利用该缺陷控制存在缺陷的PC。
蒙蒂表示,McAfee已经发现一个网站正在利用这一IE缺陷向Windows PC下载恶意代码。McAfee已经对其安全软件进行了升级,保护用户避免受到这一攻击的影响。Sunbelt 和Websense也发现了类似的攻击。
尽管尚未发现利用该缺陷的攻击,但赛门铁克上周五表示它相信这类攻击会出现。赛门铁克安全响应中心的一名主管科尔说,黑客有很大的经济动机利用该缺陷偷偷地在用户的PC上安装恶意代码。尚未修正的缺陷对黑客尤其有吸引力,因为用户还没有从微软获得补丁软件来保护自己的系统。
微软也为用户提供了临时性的解决方案。它在安全公告中指出,关闭IE浏览器中的活动脚本功能就能够阻止这种攻击。据安全专家称,这一缺陷影响安装了所有升级包的Windows XP SP2+IE 6 和IE 7β2 Preview.但微软在其安全公告中声称IE 7不会受到影响。