IE7 - kolejna luka?
Microsoft sprawdza doniesienia o nowym błędzie w zabezpieczeniach przeglądarki Internet Explorer 7. Z informacji dostarczonych przez Aviva Raffa - izraelskiego programisty, który wykrył problem - wynika, iż błąd ów może zostać wykorzystany np. przez phisherów do oszukiwania użytkowników przeglądarki.
Według Raffa, problem polega na tym, iż "napastnik" może wykorzystać stronę z komunikatem o błędzie, wyświetlanym przez IE7, do przekierowania internauty na niebezpieczną witrynę - podczas gry w polu adresowym wyświetlony zostanie adres innej strony ( np. e-banku ).
Chodzi tu o komunikat o błędzie, który pojawia się gdy użytkownik zrezygnuje z wyświetlenia ładującej się już strony ( lub gdy np. błąd połączenia zakłóci ten proces ). "Napastnik" może podmienić pojawiający się w owym komunikacie link, którego kliknięcie domyślnie powoduje odświeżenie strony. Jeśli link ten zostanie podmieniony na adres innej strony, internauta zostanie na nią przekierowany podczas próby odświeżenia strony z informacją o błędzie. Co istotne - luka w IE sprawia, że adres w polu adresowym nie zmieni się - mimo, iż użytkownik przejdzie na inną stronę, niż chciał, w polu tym pozostanie adres pierwszej strony.
Problem dotyczy przeglądarki Internet Explorer 7, zainstalowanej w systemie Windows Vista lub XP. Na stronie Aviva Raffa - http://aviv.raffon.net/2007/03/14/phishingusingie7localresourcevulnerability.aspx znaleźć można testową stronę, demonstrującą działanie luki ( osoby, które nie korzystają z IE7, mogą tam znaleźć film ilustrujący odkrycie Izraleczyka ).