Microsoft heeft een patch uitgebracht voor een kritiek veiligheidslek in de XML Core Services met versienummers 3.0 tot en met 6.0. Dit veiligheidslek werd actief benut door hackers om toegang te krijgen tot Gmail-accounts.
Google tipte Microsoft volgens ZDNet op 30 mei dat het lek actief werd benut om Gmail-accounts te hacken. Het bedrijf begon daarna ook gebruikers te waarschuwen als het vermoedde dat zij het doelwit waren van hacks van overheden, die het lek misbruikten. Microsoft maakte het bestaan van de kwetsbaarheid vervolgens op 13 juni wereldkundig en stelde toen een workaround beschikbaar die het xml-component uitschakelde. Gebruikers konden hun toevlucht tot deze methode nemen, totdat er een patch beschikbaar was. Hoewel Microsoft normaal slechts eens per twee maanden updates voor Internet Explorer uitbrengt en er vorige maand nog een update voor de browser beschikbaar werd gesteld, was het betreffende lek zo kritiek dat het toch dinsdag als onderdeel van 'patch tuesday' werd uitgerold.
Het lek betreft een kwetsbaarheid in de Microsoft XML Core Services met versienummers 3.0, 4.0, 5.0 en 6.0, die standaard onderdeel uitmaken van Windows en Office 2003 en 2007. Office 2010 bevat de kwetsbaarheid niet, beschrijft Microsoft. Het lek stelde aanvallers in staat om op afstand code uit te voeren op een systeem zonder dat er toestemming van de gebruiker nodig was. Het was voldoende om de gebruiker met Internet Explorer een aangepaste website te laten bezoeken die de code dan kon uitvoeren.