La nota società di sicurezza Secunia ha segnalato ieri una debolezza di Internet Explorer 7 che, seppure ritenuta di basso rischio, potrebbe essere sfruttata da malintenzionati per lanciare attacchi di phishing.
“Il problema è causato dalla possibilità di visualizzare una finestra pop-up che, nella barra dell’URL, contiene un indirizzo parzialmente mascherato”, ha spiegato Secunia in questo advisory .
Per ottenere questo effetto, e aprire una finestra in cui l’URL è visibile solo in parte , un aggressore non deve far altro che aggiungere ad un indirizzo Web determinati caratteri.
Secunia ha approntato un test , disponibile qui , con cui è possibile verificare il problema. Il pop-up si apre anche con Firefox 2: la differenza è che mentre Firefox visualizza solo il contenuto della finestra, IE7 mostra sulla parte superiore una piccola barra degli URL con un indirizzo contraffatto. Indirizzo che potrebbe far credere ad un utente di trovarsi su di un sito a lui noto: nell’esempio di Secunia, microsoft.com .
L’inganno è però effimero : basta infatti un clic sulla finestra per rivelare l’indirizzo completo, che nel caso del test di Secunia è http://secunia.com/result_22542/? http://www.microsoft.com .
Va detto che alcuni esperti non cosndierano il problema una vera e propria vulnerabilità, ma un “modo malizioso” per utilizzare certe funzionalità di IE7.