Разделы

ПО Софт Безопасность Администратору Пользователю Интернет

Internet Explorer 7 позволяет подменять URL

В последней версии Microsoft Internet Explorer 7 обнаружена уязвимость нулевого дня, позволяющая подменить URL в адресной строке браузера. Таким образом пользователя можно направить на подставной сайт, а адрес будет указывать на легитимный.

Уязвимость обнаружил на этой неделе исследователь Михал Залевски (Michal Zalewski), сообщил Scmagazine.com. Она вызвана ошибкой при обработке метода JavaScript «document.open()», использующегося для загрузки в новом окне веб-страницы, адрес которой передаётся в качестве параметра метода.

Подмена происходит при попытке пользователя уйти со специально сформированной страницы, набрав в адресной строке новый URL. В результате URL остаётся тем, который ввёл пользователь, а браузер продолжает выводить контент, сформированный атакующим.

По словам Залевского, уязвимость не проверялась на Internet Explorer 6. Microsoft исследует сообщение.