Zowel Microsoft als Mozilla hebben bevestigd dat er een JavaScript lek in hun browser zit waardoor een aanvaller toetsaanslagen en persoonlijke gegevens kan stelen. Om het lek te misbruiken is er zoveel interactie van de gebruiker vereist dat beide partijen het lek als niet ernstig beschouwen en pas bij een volgende versie zullen dichten. Wanneer de update zal verschijnen wilden zowel Microsoft als Mozilla niet vertellen.

"Dit lek zorgt er niet voor dat een aanvaller code op de machine van de gebruiker kan uitvoeren, maar vereist behoorlijke interactie van de gebruiker wat kan leiden tot het uitlekken van informatie" aldus een woordvoerder van Microsoft.

Mike Schroepfer van Mozilla had het volgende te zeggen: "Dit is geen ernstig probleem, omdat het bepaalde acties van de gebruiker vereist en er niet voor zorgt dat er remote code uitgevoerd kan worden. Hierbij wil ik wel duidelijk maken dat wij elk probleem serieus nemen en werken aan een oplossing voor een toekomstige versie van Firefox".

Een aanvaller zou een website kunnen maken die de toetsaanslagen van de bezoeker in een verborgen "file-upload" venster plaatst en dit bestand uploadt. Wil de aanval succesvol zijn, dan moet de gebruiker het volledige pad van de bestanden typen die de aanvaller wil hebben.