Een beveiligingsonderzoeker heeft een lek in IE 8 gepubliceerd waarvan Microsoft al sinds 2008 op de hoogte zou zijn, maar dat nog steeds niet is gedicht. Door de kwetsbaarheid kunnen onder andere ongemerkt twitterberichten worden verstuurd.
Chris Evans stelt dat de 'ernstige' bug Internet Explorer 8 gevoelig maakt voor cross-browser cross-domain theft-aanvallen. Daarbij kunnen kwaadwillenden browsersessies overnemen. Als proof of concept heeft Evans een script gemaakt waarmee Twitter-berichten kunnen worden verstuurd als een gebruiker op de twitterdienst is ingelogd. Evans stelt dat vooral gebruikers die klikken op verkorte url's kwetsbaar zijn.
Volgens Evans zijn browsers als Firefox en Chrome al enige tijd resistent tegen de aanvalsmethode. Microsoft zou het beveiligingsgat in IE8, en vermoedelijk ook oudere IE-versies, echter nog steeds niet hebben gedicht, hoewel het vermoedelijk al sinds 2008 van het probleem op de hoogte is. Door de publicatie hoopt de beveiligingsonderzoeker dat Microsoft alsnog met een patch op de proppen komt.