Usterka de facto została wykryta przez firmę Determina 20 grudnia ubiegłego roku, o czym wspomina Christopher Budd na łamach Microsoft Security Response Center Blog. Od tej pory Microsoft współpracuje z Determina, by dokładnie zbadać mechanizm wykorzystania luki oraz wydać stosowną aktualizację. Zgodnie z zasadami przyjętymi w Microsoft łatka pewnie zostałaby zawarta dopiero w dodatku do systemu Service Pack bądź uwzględniona przy wypuszczaniu kolejnych wersji produktu. Niemniej firma McAfee poinformowała Microsoft w środę o planowanym wykorzystaniu luki z wykorzystaniem trzech chińskich serwerów. Początkowo twierdzono, że napastnicy, którzy wyjawili swe zamiary na forum Webowym, mają już swój wypatrzony cel i podobny atak nie będzie wykorzystywany na szeroką skalę, jednakże Andreas Marx, prezes firmy testującej oprogramowanie antywirusowe (AV-Test.org), podał do informacji, że przynajmniej 25 tysięcy witryn zawiera kod JavaScript, aby przekierować Internautę za złośliwe chińskie serwery. Na drugi dzień pojawił się już poradnik zabezpieczeń (935423).
A oto filmik, który prezentuje, czego może doświadczyć ofiara ataku:Ustalono, że w pewnych okolicznościach nie ma możliwości wykorzystania luki. Zaliczyć tu można scenariusz korzystania z Windows Vista z włączonym trybem ochronnym Internet Explorer 7. Tryb chroniony przeglądarki jest domyślnie włączony, a jego dezaktywacja jest wynikiem wyłącznie własnej, nieprzymusowej woli użytkownika. Podatność na wykorzystanie luki jest uzależniona także od programu pocztowego, gdyż złośliwe pliki z animowanymi kursorami i ikonami mogą być dystrybuowane właśnie kanałem poczty elektronicznej. I tak, ci, którzy którzy korzystają z najnowszych klientów poczty firmy Microsoft, tj. programu Outlook 2007 oraz Windows Mail, mogą się czuć bezpieczni, chyba, że – w przypadku tego ostatniego - odpowiedzą na tę "specjalną" wiadomość bądź przekażą ją dalej. Osoby, które korzystają ze starszych programów są o wiele bardziej narażeni i wbrew pozorom czytanie wiadomości e-mail w trybie tekstowym może nieraz tylko narazić na większe ryzyko, co ładnie zostało zobrazowane przez organizację SANS.
Microsoft poinformował przy okazji, że pracuje nad wydaniem odpowiedniej aktualizacji zabezpieczeń. Zgodnie z comiesięcznym cyklem wypuszczania łatek można się spodziewać udostępnienia jej najwcześniej w drugi wtorek miesiąca, czyli dziesiątego kwietnia. Istnieje również opcja, że uaktualnienie pojawi się pozaprogramowo, jak to czasem miało miejsce, aczkolwiek klienci musieliby być wtedy narażeni na naprawdę duże ryzyko wykorzystania usterki. Póki co pojawiło się uaktualnienie przygotowane przez firmę eEye, niemniej Microsoft zaleca wstrzymanie się, gdyż może ono być niedopracowane i powodować problemy kompatybilności.
Całą sytuację mądrze skwitował szef Security Response Group w Microsoft, Mark Miller: "Trzeba dodać, że pomimo tego, że uważamy Vistę za najbezpieczniejszy system operacyjny, nie ma oprogramowania, które byłoby w 100% bezpieczne".
Aktualizacja! Organizacja SANS donosi, że kod eksploita jest już opublikowany, a liczba złośliwych witryn gwałtownie rośnie, ograniczając skuteczność dodawania ich na bieżąco do tzw. czarnych list (blacklists).
