Zwei Schwachstellen kombiniert
Laut Raff erleichtert es eine Kombination zweier Schwachstellen im Internet Explorer 7 AngreiferInnen eine Phishing-Attacke erfolgreich durchzuführen. ern In der Online-Demonstration, die der Experte zur Verfügung gestellt hat, zeigt sich, wie man sich die Eigenart des Browser zu nutze machen kann, einen Fehler beim Abbruch der Navigation zu melden ("Die Navigation zu der Webseite wurde abgebrochen"). Mit einem präparierten Link ist es möglich, JavaScript in diese lokal vordefinierte Fehlerseite (navcancl.htm) einzuschleusen und so eigene Inhalte anzuzeigen.
Gefahr
Diese eine Schwachstelle alleine wäre nur halb so wild, doch zeigt der IE 7 durch einen Designfehler in der Adresszeile nur die URL der ursprünglich aufgerufenen Seite an, obwohl der dargestellte Inhalt nicht von dort stammt. So würden AnwenderInnen getäuscht. Der gefälschte Inhalt einer Webseite wird aber erst dann eingeblendet, wenn das Opfer in der Fehlerseite den Link "Aktualisieren Sie die Seite" anklickt. Erfahrungsgemäß klicken viele Anwender aber eher auf den Refresh-Button in der Navigationsleiste, so dass der Fehler in solchen Fällen nicht zum Tragen komme, meint Raff.
Untersuchungen laufen