IE7 - kolejna luka?

Microsoft sprawdza doniesienia o nowym błędzie w zabezpieczeniach przeglądarki Internet Explorer 7. Z informacji dostarczonych przez Aviva Raffa - izraelskiego programisty, który wykrył problem - wynika, iż błąd ów może zostać wykorzystany np. przez phisherów do oszukiwania użytkowników przeglądarki.

Według Raffa, problem polega na tym, iż "napastnik" może wykorzystać stronę z komunikatem o błędzie, wyświetlanym przez IE7, do przekierowania internauty na niebezpieczną witrynę - podczas gry w polu adresowym wyświetlony zostanie adres innej strony (np. e-banku).

Chodzi tu o komunikat o błędzie, który pojawia się gdy użytkownik zrezygnuje z wyświetlenia ładującej się już strony (lub gdy np. błąd połączenia zakłóci ten proces). "Napastnik" może podmienić pojawiający się w owym komunikacie link, którego kliknięcie domyślnie powoduje odświeżenie strony. Jeśli link ten zostanie podmieniony na adres innej strony, internauta zostanie na nią przekierowany podczas próby odświeżenia strony z informacją o błędzie. Co istotne - luka w IE sprawia, że adres w polu adresowym nie zmieni się - mimo, iż użytkownik przejdzie na inną stronę, niż chciał, w polu tym pozostanie adres pierwszej strony.

Problem dotyczy przeglądarki Internet Explorer 7, zainstalowanej w systemie Windows Vista lub XP. Na stronie Aviva Raffa znaleźć można testową stronę, demonstrującą działanie luki (osoby, które nie korzystają z IE7, mogą tam znaleźć film ilustrujący odkrycie Izraleczyka).


Zobacz również