Gebruikers van Microsoft Internet Explorer zijn gewaarschuwd voor een ernstig lek in de browser waardoor kwaadaardige websites malware op het systeem kunnen plaatsen. Het lek, dat al sinds augustus 2005 bij Microsoft bekend is, lijkt op de "drag & drop" kwetsbaarheid die eind 2004 bekend werd. Door het verslepen van een plaatje op een website en daarna ergens te klikken, kon er malware geinstalleerd worden.

Het probleem zit hem dit keer in het verwerken van bepaalde "drag-and-drop" gebeurtenissen. Hierdoor kan een kwaadaardige website drag operaties, zoals het bewegen van de scoll-bar, voorspellen en willekeurige bestanden op gevoelige locaties plaatsen, waarna het systeem overgenomen zou kunnen worden.

De kwetsbaarheid is aanwezig in Microsoft Internet Explorer 5.01, 5.5 en 6.0. Microsoft is niet van plan om een security update uit te brengen. Mogelijk dat het probleem wel in Service Pack 2 voor Windows Server 2003 en Service Pack 3 voor Windows XP verholpen zal worden. Voor Windows 2000 gebruikers zal er GEEN update verschijnen.

Volgens Microsoft is het probleem niet ernstig genoeg om via een security bulletin verholpen te worden. Matthew Murphy die het lek bekend heeft gemaakt laat echter weten dat dit antwoord behoorlijk verschilt van de aanpak van het vorige drag-and-drop lek, dat Microsoft wel via een patch verhielp en als een ernstig lek beschouwde.

Er zijn wel verschillende "workarounds", die op deze pagina worden uitgelegd:
1. Het installeren van een Kill Bit op de Shell.Explorer Control
2. Voorkom automatische navigatie naar de Local Intranet Zone
3. Schakel Active Scripting uit