Ved å legge inn JavaScript-kode som parametre for HTML/CSS-taggen STYLE i en Hotmail-melding, vil det være mulig for avsenderne av meldingene å stjele for eksempel passord eller å lese andres private e-post.
Normalt identifiserer Hotmail JavaScript i innkommende meldinger, men ifølge Georgi Guninski, den bulgarske sikkerhetseksperten som har oppdaget hullet, håndterer ikke Hotmail STYLE-taggen på en skikkelig måte, slik at JavaScript-koden slipper igjennom.
Ole Tom Seierstad ved Microsoft Norge forteller til digi.no at selskapet er klar over feilen og at det arbeides med å få rettet den, men han hevder at dette er et JavaScript-problem og ikke et Hotmail-problem.
_logo.svg.png){kind=logo}
Inntil hullet er blitt tettet igjen anbefaler han Hotmail-brukere å skru av støtten for JavaScript når de leser Hotmail-meldinger.
Hullet kan kun utnyttes når brukeren av Hotmail benyttes en nettleser som støtter CSS (Cascading Style Sheets).
