Een beveiligingslek in Internet Explorer stelt gebruikers bloot aan cross-site scripting-aanvallen (XSS), maar Microsoft beschouwt het niet als een ernstig probleem. Volgens beveiligingsbedrijf Imperva dat het probleem ontdekte, worden dubbele quotes niet goed door IE geencodeerd. Microsoft zou hiermee tegen de standaard ingaan, en de manier waarop andere browsers zoals Chrome en Firefox het implementeren.

Daardoor zijn IE-gebruikers kwetsbaar voor XSS-aanvallen. Websites gaan ervan uit dat de URI in een request van de browser goed wordt geencodeerd. Doordat de Microsoft browser dubbele quotes niet goed encodeert, kan het de HTML structuur van een website breken en een aanvaller een XSS-aanval tegen de gebruiker laten uitvoeren.

Gedrag
Imperva waarschuwde Microsoft een kreeg het volgende antwoord van de softwaregigant: "Het gedrag dat je beschrijft is iets dat we kennen en overwegen om in toekomstige versies van IE aan te passen, het is niet iets dat we als een beveiligingslek beschouwen dat we in een beveiligingsupdates zullen oplossen."

Het beveiligingsbedrijf is het niet met de opvatting van Microsoft eens, aangezien dit soort aanvallen al op IE-gebruikers in het wild worden uitgevoerd. Via XSS kunnen gebruikers de cookies en accounts van IE-gebruikers stelen.