Durch Fehler in der dazu gehörigen Active-X-Komponente "MSN Chat Control", sind Hacker in der Lage, schädlichen Code auf dem Rechner eines Opfers auszuführen. Die betroffene Software wird unter anderem mit dem Instant Messaging-Client "MSN Messenger" ab Version 4.5 und dem "Exchange Instant Messenger" ausgeliefert, kann aber auch separat aus dem Internet geladen werden. Der Windows Messenger von Windows XP ist nicht betroffen, da er die Chat-Komponente nicht enthält.
Die Sicherheitslücke besteht aus einem ungesicherten Puffer in einer der Funktionen, die Input-Parameter des Chat-Controls bearbeiten. Ein Angreifer kann gezielt einen Buffer Overflow herbeiführen und infolgedessen auf dem davon betroffenen Rechner ein beliebiges Programm ausführen. Microsoft hat bereits reagiert und einen Patch bereitgestellt, außerdem liegen inzwischen fehlerbereinigte Versionen der IM-Anwendungen vor. (ave)