Önceki IE sürümlerini etkileyen ve browser penceresi içeriğinde değişiklik yapılabilmesine izin veren açığın IE 7'nin son sürümlerini etkilediği rapor edildi.
Aralık 2004'den beri Internet Explorer sürümlerinde görülen bu açık Olta saldırılarında (Phishing) ve kimlik hırsızlığında kullanılabiliyor.
Açığı kritik olarak değerlendiren güvenlik sitesi Secunia "problem eğer browser hedef penceresinin ismi biliniyorsa bir web sitesinin bu pencere içeriğine ekleme yapabilmesinde" diyor.
Açığın örnek kullanımı aşağıdaki adreste görülebilir:
Tıklayın
Bir Microsoft sözcüsü firmanın bunu bir güvenlik açığı olarak değerlendirmediğini söyledi:
"Secunia popüler web browser'lardaki dizayn-gereği bir davranış olan, bir web sitesinin pop-up pencere açabilmesi veya tekrar kullanabilmesini söylüyor. IE 7'de web sayfasının gerçek URL'si kullanıcıların karar verebilmesi için pop-up penceresi adres çubuğunda gösteriliyor."
Bu açık IE 7'nin Ekim 19'da çıkmasından beri 3. güvenlik problemi. Browser'ın çıktığı gün güvenlik araştırmacıları bir bilgi görüntüleme açığı tespit etmişti fakat Microsoft açığın Outlook Express'de olduğunu ve Internet Explorer açığı olmadığını söylemişti.
3. problem ise olta saldırılarında kullanılan ve URL'ye bazı özel karakterler ekleyerek adres çubuğundaki adresin farklı gösterilebilmesini sağlayan bir açıktı.