Microsoft ha finalmente corretto la cosiddetta, con un errore di notazione, vulnerabilità dell'oggetto JavaScript Window() attraverso il quale, visitando un sito Web che lo avesse incorporato per finalità nociva, veniva messa in pericolo la stabilità e sicurezza del sistema. La correzione è la più importante, ma non l'unica, del bollettino di sicurezza di dicembre, pubblicato come di consueto nella tarda serata italiana di martedì.
Il bollettino di sicurezza corregge quattro problemi in Internet Explorer, due critici e due "moderati", e uno nel Kernel di Windows. Quest'ultimo è una vulnerabilità giudicata da Microsoft importante e riguarda solamente Windows 2000 con il Service Pack 4 installato. Le vulnerabilità di Explorer invece coinvolgono il browser sin dalla versione 5.01.
L'aggiornamento più importante è quello che corregge la citata vulnerabilità di Explorer nello gestire gli accessi al DOM (Document Object Model) attraverso particolari funzioni JavaScript (come ad esempio Window()). La vulnerabilità è stata in un primo momento segnalata nella nota mailing list Bugtraq nel maggio 2005, ma in quel caso l'unico errore descritto era il blocco del browser. Il codice è stato poi ritoccato e, nel novembre 2005, uno sviluppatore ha pubblicato un proof of concept in cui veniva evidenziato che il bug avrebbe anche potuto, con una certa facilità, portare all'esecuzione di codice nocivo. La patch corregge finalmente il problema.
La seconda vulnerabilità critica è una vecchia conoscenza e riguarda oggetti COM che, non previsti per essere utilizzati in Internet Explorer, possono condurre all'esecuzione di codice nocivo all'interno del sistema. Vulnerabilità pressoché identiche erano quelle segnalate nel bollettino MS05-38 e MS05-52 e segnalate su sicurezza.html.it in due diverse schede. Ad ogni aggiornamento, Microsoft aggiunge alla lista di possibili oggetti COM vulnerabili nuovi CLSIDs (ID di classe, ossia identificatori univoci che identificano gli oggetti COM).
Le altre due vulnerabilità non critiche correggono, la prima, il modo con cui Explorer visualizza il box con cui viene avviato un download o l'esecuzione di un programma scaricato dalla rete che potrebbe, con tecniche di socuial engineering, essere utilizzato a fini nocivi; la seconda, la gestione di connessione sicure con proxy che potrebbero essere violate e consentire la visualizzazione dell'indirizzo di collegamento.
Tutte le patch possono essere scaricate e installate automaticamente dal sito Microsoft Update.
