Zoals Microsoft nu onder KB2887505 laat weten, bevat de module mshtml.dll in Internet Explorer vanaf versie 6 tot en met 11 een ernstig beveiligingslek, dat kan worden gebruikt om via JavaScript kwaadaardige code te injecteren. Omdat de kwetsbaarheid al actief wordt uitgebuit, heeft Microsoft een hotfix CVE-2013-3893 beschikbaar gesteld, die tot nu toe alleen werkt in Internet Explorer 8 of 9. Gebruikers van andere versies moeten de instellingen van de internetzone en de lokale intranetzone op “Hoog” zetten om ActiveX-besturingselementen en Active Scripting in deze zones te blokkeren.
Microsoft Outlook bijvoorbeeld, dat IE-technologie gebruikt voor HTML-weergave, wordt ook getroffen door het probleem.
Addendum van 08.10.2013: De bug zou verholpen zijn met de fix MS13-080.
Bron: Microsoft