Ein Angreifer konnte über den IE Schadcode einschleusen und mit den Rechten des angemeldeten Benutzers ausführen. Das Opfer musste dafür nur auf eine speziell gestaltete Internetseite gelockt werden. Google-Sicherheitsforscher Clement Lecigne hatte diesen Fehler entdeckt.
Microsofts Sicherheitsmeldung zufolge greift der ungepatchte Internet Explorer in den Versionen 7, 8, 9, 10 und 11 nicht richtig auf Objekte im Speicher zu. Die Anfälligkeit lässt sich demnach nicht nur mit manipulierten Websites, sondern auch mit präparierten Werbeanzeigen oder von Nutzern erstellten Inhalten ausnutzen.
Der neue Windows 10-Browser Edge ist davon nicht betroffen.