たった一文字の＆が原因でこの脆弱性を起こしてしまったとのこと・・・・

7月上旬以降、「Internet Explorer（IE）」を攻撃の脅威にさらしている同ブラウザのセキュリティホールは、Microsoftによるコード内のたった1つのタイプミスによって引き起こされていた。
Microsoftは米国時間7月28日、同社の「Security Development Lifecycle（SDL）」ウェブサイトに投稿したブログ記事の中で、誤って入力されたアンパサンド（「&」）が攻撃の原因であることを認めた。
MicrosoftのセキュリティプログラムマネージャーであるMichael Howard氏は自身のブログの中で、そのタイプミスによってIEが使用するActiveXコントロールのコードに問題が生じてしまったと説明した。そのコントロールは、Microsoftが古いコードライブラリを使って作成したもので、Howard氏はこのコードライブラリに脆弱性があることを認めている。タイプミスによってコードが信頼されていないデータを記述し、ブラウザが脅威にさらされたのは、コードライブラリの脆弱性が原因である。

「IE」に対する最新攻撃の原因、たった1つのタイプミス--MSが認める - CNET Japan