Kolejne błędy IE

Na liście mailingowej Bugtraq pojawiły się opisy dwóch nowych błędów w przeglądarce Internet Explorer, umożliwiające autorom stron WWW 'zwabienie' internauty na stronę WWW o adresie innym, niż prezentowany na 'Pasku stanu' przeglądarki.

Pasek stanu znajduje się na dole przeglądarki - jeśli użytkownik przesunie kursor na 'klikalny' tekst na stronie WWW, na pasku wyświetlony zostanie pełny adres URL strony, do której prowadzi ów link. Okazuje się, że autor strony WWW może tak spreparować ów element strony, by na pasku wyświetlany był inny adres, niż ten do którego prowadzi link. Zdaniem odkrywców błędu, może on zostać wykorzystany do 'zwabiania' internautów na niebezpieczne strony WWW. Ten mechanizm nazywany jest 'URL spoofing'.

Do Bugtraq trafiły dwa niezależne zgłoszenia w tej sprawie - przesłane przez Benjamina Franza oraz eksperta o pseudonimie http-equiv. W obu przypadkach mechanizm błędu jest prawie identyczny - różnica polega na tym, że na atak opisany przez Franza nie jest podatny system Windows XP uaktualniony przez Service Pack 2. Błąd wykryty i udokumentowany przez http-equiv wydaje się groźniejszy - nawet w pełni uaktualniony Windows XP SP2 nie daje gwarancji bezpieczeństwa. Obaj 'odkrywcy błędów' zalecają więc użytkownikom ostrożność podczas surfowania po podejrzanych stronach WWW.