微軟上個周六晚上透露， IE瀏覽器所有版本存在一漏洞，可用于“有限的、有針對性的攻擊”。微軟稱他們正在調查有關的漏洞和攻擊，但尚未確定采取什么樣的相應行動以及何時采取行動。

IE瀏覽器6至11的所有版本均因存此漏洞被列入可受到攻擊的對象，除了Server Core以外，其他使用這些IE瀏覽器的所有Windows也可能遭受攻擊。Windows Server版在默認的增強安全配置下運行IE瀏覽器，不會受到攻擊。但如果有關網(wǎng)站被置于IE瀏覽器的可信任站點區(qū)域內，則Windows Server版亦會受到影響。

研究公司FireEye向微軟報告了此漏洞。FireEye表示，雖然此漏洞會影響IE瀏覽器的所有版本，但針對漏洞的攻擊僅對IE瀏覽器9、10和11版有效，攻擊屬于所謂的“釋放后利用”(Use after free)型，即是說，瀏覽器內存中的對象被釋放后，有心人對所用過的內存區(qū)進行操作。相關的攻擊繞過DEP(數(shù)據(jù)執(zhí)行保護)和ASLR(地址空間布局隨機化)兩個保護機制。

根據(jù)FireEye的說法，具體的攻擊是利用Adobe Flash的SWF文件對堆(Heap)做處理。相關的堆處理技術名為堆風水。微軟和FireEye都沒有提到以下的這一點，但是沒有安裝Flash的計算機不會受到有關的攻擊，不過因其附有IE瀏覽器仍會存有漏洞遭到攻擊。IE瀏覽器10版和11版配有內嵌的Flash，所以肯定會受到攻擊的影響。

增強型緩解體驗工具包(Enhanced Mitigation Experience Toolkit ，縮寫為EMET)可以使得利用漏洞進行攻擊變得困難一些。