Jak donosi odkrywca luki, Michał Zalewski, najnowszy Internet Explorer jest podatny na lukę typu zero-day, która pozwala wprowadzić użytkownika w błąd i przenieść go na inną stronę, niż URL wpisany w pasku adresu.
Firma Secunia sklasyfikowała błąd jako mało krytyczny. Związany jest on z obsługą metody document.open(), która wykorzystywana jest do ładowania strony określonej przez wpisany adres URL w nowym oknie.
Specjalnie spreparowana strona internetowa może wprowadzić w błąd użytkownika w jednym konkretnym przypadku. Jeżeli użytkownik znajdzie się na złośliwej stronie WWW i zechce zmienić stronę poprzez wpisaniu w pasku adresu nowy adres, może zostać przeniesiony przez złośliwy kod na podstawioną fałszywą stronę, mimo, iż w pasku adresu będzie widniał wpisany przez użytkownika adres URL.
Michał Zalewski:
W przypadku tych ataków użytkownik jest przekonany, że opuścił przeglądaną stronę WWW, tymczasem jego przeglądarka wyświetla zawartość przygotowaną przez atakującego.
Na dzień dzisiejszy radzi się ograniczyć ilość odwiedzanych nieznanych stron WWW.
Źródło: www.scmagazine.com
