研究者發(fā)現(xiàn)，Internet Explorer中不夠充分的安全限制使攻擊者可能在包含框架（frame）的Web頁(yè)面中執(zhí)行腳本程序。因?yàn)镮E5.5及其以上的版本中對(duì)框架（以及iframe）的處理方式，攻擊者能夠輕易地進(jìn)行各種破壞活動(dòng)，包括：

1、使用IE中包含框架的缺省本地資源（有意思的是該資源卻稱為“私有策略”）從受害者的硬盤(pán)中讀取本地文件。

2、使用“私有策略”（PrivacyPolicy）資源，在受害者的計(jì)算機(jī)上執(zhí)行任意的程序。

3、從包含了框架的遠(yuǎn)端站點(diǎn)讀取受害者的cookie和其他內(nèi)容，這可能會(huì)導(dǎo)致包含框架的站點(diǎn)，比如Hotmail，產(chǎn)生會(huì)話盜用（session-stealing）以及用戶帳戶的妥協(xié)。

4、偽造包含了框架的站點(diǎn)的內(nèi)容。比如，攻擊者能夠在hotmail.com站點(diǎn)向用戶展示一個(gè)虛假的登錄頁(yè)面，并且把登錄結(jié)果記錄到數(shù)據(jù)庫(kù)中。

I(yíng)E5.5及更高版本的用戶對(duì)于以上這些攻擊十分脆弱，IE6.0的用戶面臨的情況更加糟糕。幸運(yùn)的是有一個(gè)簡(jiǎn)單的方法來(lái)解決這些問(wèn)題，該方法主要是關(guān)閉了活動(dòng)腳本的功能?；蛘咭部梢钥紤]換另一種瀏覽器來(lái)避免被攻擊的危險(xiǎn)。

GreyMagic公司在發(fā)現(xiàn)了前面的問(wèn)題后于9月9日發(fā)布了對(duì)此問(wèn)題的建議。然而目前微軟對(duì)此事尚未發(fā)表自己的看法。并且在微軟最近發(fā)布的IE6 Service Pack1中給出的修復(fù)列表中尚未提及這些問(wèn)題。