Microsoft разследва новооткрита уязвимост в Internet Explorer 7, която излага потребителите на браузъра на фишинг атаки. Фирмата за сигурност Secunia определя откритата от експерта Авив Раф дупка като "по-малко критична“.
Раф заявява, че IE 7, стартиран на Windows XP и Vista, е податлив на крос-сайт скриптинг атаки. Това, комбинирано с дупка в браузъра, може да позволи на недоброжелатели да стартират фишинг план срещу потребителите.
Според откривателя на уязвимостта, тя представлява доста сериозен проблем, тъй като позволява на фишърите да атакуват, без да им се налага да създават имитиращ URL.
В своят блог Раф съобщава, че фишърите могат да създадат специално модифициран navcancl.htm със скрипт, който да показва фалшиво съдържание на доверен сайт, като например URL на банка, Paypal или MySpace. Експертът добавя, че дупката не може да бъде използвана за изпълнение на отдалечен код.
Когато потребителят отвори линк, изпратен от атакуващия, се появява страницата „Navigation Canceled“. Тя заблуждава жертвата, че в сайта има грешка и ще опита да презареди страницата. В момента, в който потребителят натисне върху линка „Refresh the page“ (Презареждане на страницата), ще бъде показано съдържанието, осигурено от атакуващия. По този начин потребителят ще бъде излъган, че се намира на доверена страница, тъй като адресната лента показва URL на доверения сайт.
Именно поради тази причина, от Secunia съветват да не следвате линкове от недоверени източници, както и да не използвате "Refresh the page" линка, появяващ се при показване на страницата "Navigation Canceled".