Michał Zalewski wykrył lukę w IE7
Najnowsza wersja Internet Explorera jest podatna na lukę typu zero-day, która pozwala złośliwej stronie internetowej oszukać użytkownika wykorzystując do tego celu pasek adresu przeglądarki.
Błąd, sklasyfikowany przez firmę Secunia jako "mało krytyczny", związany jest z niewłaściwą pracą metody "document.open()" wykorzystywanej przy otwieraniu nowego okna i ładowania dokumentu określonego przez adres URL.
W tym konkretnym przypadku użytkownicy odwiedzający złośliwą stronę internetową mogą chcieć zmienić oglądaną witrynę. Jeśli wykonają to poprzez wpisanie w pasku adresu nowe "miejsce docelowe", mogą zostać przeniesieni do przygotowanego specjalnie przez cyberprzestępcę serwisu, mimo że na pasku adresu będzie widniał URL, który wpisali.
- W przypadku tych ataków użytkownik jest przekonany, że opuścił przeglądaną stronę WWW, tymczasem jego przeglądarka wyświetla zawartość przygotowaną przez atakującego - opowiada odkrywca luki, Michał Zalewski (polski haker, autor książki "Cisza w sieci").
Secunia radzi, aby internauci ograniczyli liczbę odwiedzin nieznanych stron internetowych. Luka, która wykorzystuje JavaScript, nie była testowana w przypadku Internet Explorera 6, wyjaśnił Zalewski.
