Wykryto nową lukę w kontrolce XMLHTTP 4.0 (MicrosoftXML Core Services) będącej składnikiem Windows 2000, XP i 2003. Wprzypadku tego ostatniego domyślne zabezpieczenia sprawiają, żeluka nie jest groźna. Luka istnieje w bibliotece, z której korzystają różne programy.Atakujący za pomocą odpowiednio spreparowanych danych dostarczonychdo takiego programu może za pomocą omawianej luki spowodowaćwykonanie dowolnego kodu na komputerze ofiary na jej uprawnieniach.Użytkownicy pracujący na prawach administracyjnych są więc bardziejzagrożeni. Jednym z programów wykorzystujących wadliwą bibliotekęjest Internet Explorer. Fakt ten wykorzystują pojawiające sięwirusy rozprzestrzeniające się przez odpowiednio spreparowanestrony internetowe. Tak jak w przypadku dziur w innych kontrolkach ActiveX najprostszymrozwiązaniem jest ustawienie tzw. kill bitu za pomocą modyfikacjirejestru. W tym celu należy w kluczuHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveXCompatibility{88d969c5-f192-11d4-a65f-0040963251e5} utworzyćwartość typu DWORD o nazwie Compatibility Flags i wpisać do niejwartość 00000400. Innym rozwiązaniem jest wyłączenie obsługiActiveX w IE.
