Konkret können Webseiten, wenn sie den Namen einer anderen Page kennen, in diese eigenen Content einfügen. Dieses Verhalten kann dazu benutzt werden, um Phishing-Attacken durchzuführen. Während Secunia die Lücke als "moderat kritisch" bezeichnet, spricht Microsoft von einer Design-Entscheidung. Um zu verhindern, dass die BenutzerInnen auf solche Tricks hereinfalle, zeige der IE 7 nun ohnehin bei allen Pop-Ups ausnahmslos die URL-Zeile an, so ein Microsoft-Verantwortlicher gegenüber CNET.
Genau hier steckt aber ein weiteres Problem: Erst wenige Tage zuvor wurde ein Bug im IE7 bekannt, der es ermöglicht die URL-Zeile zu fälschen, und so eine falsche Authentizität vorzuspiegeln. Aus der Kombination der beiden Fehler ließen sich Phishing-Attacken erstellen, die wohl nur die wenigsten der BenutzerInnen erkennen würden. (red)