گروه Zero Day Initiative، وابسته به شرکت Hewlett-Packard، وجود این ضعف امنیتی را سال گذشته به شرکت مایکروسافت گزارش کرده بود. اما بدلیل عدم ارائه اصلاحیه از سوی مایکروسافت برای ترمیم این ضعف امنیتی، هفته گذشته اقدام به انتشار هشدار امنیتی بصورت عمومی نمود. این گروه دارای اساسنامه ای است که بر طبق آن در صورتی که تولیدکننده نرم افزار طی 180 روز راهکاری برای مقابله با ضعف امنیتی گزارش شده ارائه نکند، وجود آن ضعف باید بصورت عمومی اعلام شود.
این ضعف امنیتی، با شناسه CVE-2014-1770، سبب می شود هنگام مشاهده صفحات حاوی اشیای CMarkup دستکاری شده، خطایی موسوم به User-After-Free رخ دهد و نفوذگر را قادر به اجرای فرمان مورد نظرش کند. هر چند که سوءاستفاده موفقیت آمیز از این ضعف امنیتی نیازمند دخالت کاربر می باشد و بنابراین نمی توان درجه اهمیت آن را “حیاتی” قلمداد کرد، اما وجود این ضعف و احتمال سوء استفاده گسترده از آن، می تواند خطر بالقوه ای برای امنیت سیستم های میلیون ها کاربر بشمار آید.
طبق اعلام شرکت مایکروسافت، تا کنون موردی از سوءاستفاده از این ضعف امنیتی مشاهده نشده است. با این حال به کاربران توصیه شده است تا مرورگرهای IE خود را به نسخه های جدیدتر که از امکانات حفاظتی بیشتری برخوردارند ارتقا دهند. این شرکت هنوز زمان دقیقی برای انتشار اصلاحیه قطعی جهت ترمیم این نقطه ضعف اعلام نکرده است اما بطور تلویحی دلیل این تاخیر را پیچیده بودن ضعف امنیتی و زمانبر بودن انجام آزمون های لازم، بیان کرده است.
Van Eeckhoutte، کاشف این ضعف امنیتی نیز اعلام کرد که قطعاً شرکت مایکروسافت برای این تاخیر دلیل بسیار خوبی دارد. او، همچنین، کار این شرکت را در بررسی گزارشهای کشف ضعف های امنیتی، ارائه اصلاحیه ها و تقدیر از کاشفان نقاط ضعف، قابل تحسین دانست.
ماه گذشته نیز شرکت مایکروسافت برای ترمیم یک نقطه ضعف امنیتی در مرورگر Internet Explorer ناچار به انتشار یک اصلاحیه امنیتی فوق العاده شد.
گروه Zero Day Initiative استفاده از Microsoft Enhanced Mitigation Experience Toolkit را راهکاری مؤثر برای مهار و محدود کردن امکان سوءاستفاده از نقطه ضعف جدید دانسته است.