Według Georgi Guninski'ego, bułgarskiego programisty, specjalizującego się w wykrywaniu luk w zabezpieczeniach programów, ostatni patch do Internet Explorera 5.5 i 6.0 co prawda spełnia swoje zadanie, ale jednocześnie otwiera przed hakerami inne możliwości zaatakowania komputera, na którym został on zainstalowany.
Pechowe uaktualnienie zostało udostępnione przez Microsoft w grudniu 2001 r. Miało ono likwidować wszystkie wykryte dotąd luki w zabezpieczeniach sztandarowej przeglądarki Microsoftu. Przede wszystkim jednak patch usuwał wykryty miesiąc wcześniej błąd, pozwalający hakerom na uruchomienie dowolnego programu na komputerze z IE.
Guninski twierdzi, że to uaktualnienie (określane przez Microsoft jako "krytyczne") otwiera inną lukę w zabezpieczeniach Internet Explorera. Błąd dotyczy funkcji GetObject w języku JavaScript. Według bułgarskiego "łowcy dziur", umieszczenie odpowiednio spreparowanego skryptu na stronie internetowej lub w e-mailu może pozwolić hakerowi na uruchomienie na komputerze ofiary dowolnego kodu, a w efekcie także całkowite przejęcie kontroli nad systemem.
Według Guninski'ego, Microsoft został o tym fakcie poinformowany już w kilka dni po udostępnieniu patcha. Do tej pory jednak koncern nie podjął żadnych kroków w celu usunięcia zagrożenia. Co gorsza - nie poinformował nawet użytkowników IE o jego istnieniu. Guninski postanowił zatem uczynić to na własną rękę. Przedstawiciele Microsoftu odmawiają na razie udzielania jakichkolwiek komentarzy w tej sprawie.
Do czasu udostępnienia przez Microsoft kolejnej poprawki Guninski zaleca całkowite wyłączenie wykonywania przez przeglądarkę aktywnych skryptów. Można to zrobić wchodząc do menu Narzędzia --> Opcje internetowe --> Zabezpieczenia --> Poziom niestandardowy i zaznaczyć pole Wyłącz przy opcji Wykonywanie aktywnych skryptów.