La vulnerabilidad se debe "a una falta de comprobación de tamaños en variables dinámicas y provoca un desbordamiento de 'búffer' que afecta tanto al explorador de 'Windows' como el de Internet", apuntó Hispasec.

El problema puede presentarse cuando se realiza una conexión a un servidor de ficheros que contenga recursos compartidos cuyo nombre sea especialmente largo (de unos trescientos bytes) y que no tenga letras en minúscula.

Si se consigue engañar a un usuario para que acceda a un recurso de este tipo, ya sea en una página web o un servidor de archivos, se podría ejecutar código remoto en su sistema.

Hispasec apuntó que, según un artículo del 'Knowledge Base' de Microsoft, con código 322857 y con fecha de última revisión de 23 de junio del 2003, este problema ya estaría resuelto con los 'Service Pack 1' para 'XP' y 4 para 'Windows 2000'.

Sin embargo, aseguró que la vulnerabilidad ha sido reproducida en sistemas totalmente parcheados y también afecta a las versiones 95, 98 y Me de 'Windows'. Las versiones afectadas de 'Internet Explorer' serían 5.01, 5.5 y 6.