یک شرکت امنیتی این نقص را خطر جدی عنوان کرده، اما مایکروسافت اعلام کرد که تنها حملات محدودی از این طریق انجام میشود. این نقص که هنوز نسخه اصلاحی آن منتشر نشده بر نسخههای خاصی از ویندوز که Microsoft XML Core Services 4.0 را اجرا میکنند تاثیر میگذارد.
Microsoft XML Core Services 4.0 یک سری ابزارهایی است که به برنامهنویسان امکان میدهد برای دستیابی به اسناد XML از زبانهای Scripting استفاده کنند.
نسخههایی که تحت تاثیر این نقص قرار میگیرند عبارتند از: Windows 2000 Service Pack4 و2 Windows XP Service Pack ( ویندوز سرور 2003 و ویندوز سرور 2003 مایکروسافت سرویس پک یک).
مایکروسافت اعلام کرد که کاربر باید یک سایت آلوده را مشاهده نماید تا کنترل XMLHTTP 4.o Active X فعال شود.
سپس نفوذگر میتواند از همان حقوق کاربر logon شده برخوردارشود و کنترل سیستم را به عهده گیرد.کاربران میتوانند برای محافظت از سیستم خود کنترل ActiveX را غیرفعال سازند، اما این کار میتواند از عملکرد صحیح بعضی سایتها جلوگیری کند. مایکروسافت در یک توصیه نامه چگونگی غیرفعال کردن کنترل را شرح میدهد.
SANS Institute این نقص را به عنوان یک نقص Zero-day دستهبندی نموده به این معنا که این مشکل عمومی است اما اصلاح نشده است. مایکروسافت نسخه اصلاحی برای نرمافزار خود را در دومین سهشنبه ماه منتشر میکند.
سرعت انتشار یک نسخه اصلاحی به میزان خطر نقص بستگی دارد و شرکت قصد دارد نسخه اصلاحی برای نقصهایی که بهطور گسترده مورد استفاده قرار میگیرند را خارج از دوره منتشر سازد.
