Подмена адресной строки в popup окне в Microsoft Internet Explorer 7 Опции

[Гость_axiz_*]

Программа: Microsoft Internet Explorer 7.x
Наличие эксплоита: Да
Описание:
Уязвимость позволяет удаленному пользователю произвести спуфинг атаку.
Уязвимость существует из-за того, что злоумышленник может добавить специальные символы к URL, открывающемся во всплывающем окне. В результате, в всплывающем окне будет отображена часть адресной строки, что может позволить злоумышленнику обманом заставить пользователя произвести некоторые действия. Пример:

secunia.com/internet_explorer_7_popup_address_bar_spoofing_test/

URL производителя: microsoft.com

Решение: Способов устранения уязвимости не существует в настоящее время.

Сообщение отредактировал axiz - Oct 25 2006, 14:02

[AndrewDragon]

ага, к адресу добавился адрес мелкомягких, так оно тока добавлять умеет а сам адрес в начале не меняит?
в это весь обман?%)

[pavel]

в это весь обман?

Обман состоит в том, чтобы заставить пользователя поверить в то, что он находится на одном сайте (скажем, сайте своего банка) в то время, как на самом деле он находится на другом (скажем, сайте злоумышленников). Это используется в phishing'е:

Phishing — это мошенничество с целью хищения личных данных. При phishing-атаках мошенники под фальшивыми предлогами пытаются вынудить вас раскрыть важные личные данные, такие как номера кредитных карточек, пароли, данные о банковском счете и т. д. Phishing-атаки могут проводиться лично, по телефону или в сети через нежелательные сообщения электронной почты или всплывающие окна.

Подробно об этом пару лет назад писали здесь:
http://www.microsoft.com/rus/athome/securi...l/phishing.mspx

Теперь видимо пришло время встраивать защиту от этого дела в браузеры (Phishing Filter в IE7, Phishing Protection в FF2), хотя теперь это вроде уже не слишком актуально.