A legújabb – és eddig ellenszer nélküli – biztonsági rés az Internet Explorer JPEG-képek megjelenítésért felelős algoritmusában található, felfedezése Michal Zalewski biztonságtechnikai tanácsadó nevéhez fűződik. A támadásnak gyakorlatilag a böngésző összes verziója ki van téve, beleértve a legújabb, 6-os verzió példányait, még abban az esetben is, ha Service Pack 2-vel telepített gépeken futnak.

A biztonsági rést felhasználva – manipulált képfájlokon keresztül hibás fejléceket küldve a böngészőnek – puffer túlcsordulást lehet okozni annak memóriakezelésében. Zalewsi szerint egy ezzel a módszerrel támadó hacker arra is képes lehet, hogy tetszőleges utasításokat futtasson le a távoli számítógépen.

A biztonsági szakember a hibát nem jelentette be a Microsoftnak, mivel tapasztalata szerint a szoftvercég eljárása indokolatlanul nehézkes és hosszadalmas az ilyen esetekben, és túl sok terhet ró magára a felfedezőre – a felderített hibát inkább saját weboldalán publikálta. Zalewski a leírás mellett négy jpeg-képet tett közzé az oldalon, mindegyik képes arra, hogy teljesen padlóra küldjön egy Exlorert.

Kipróbáltuk. Működik.