Abonneer je gratis op Techzine!

Een nieuw beveiligingslek in Internet Explorer 7 dat door phishers misbruikt kan worden om gebruikers een nepsite te tonen, is ontdekt door een Isrealische beveiligingsondernemer genaamd Aviv Raff. De gebruiker kan door dit lek denken dat het op de echte website zit, terwijl het in feite een totaal andere pagina is.

De manier waarop IE7 lokaal opgeslagen HTML foutmeldingen verwerkt, die meestal worden getoond als het pagina van de site is mislukt, zorgt ervoor dat het probleem ontstaat.
In de melding die men dan te zien krijgt staat dat de pagina niet geopend kon worden. Je hebt dan de mogelijkheid om de pagina opnieuw te laden door op de link ‘Pagina vernieuwen’ te klikken. Wanneer echter op deze link geklikt wordt kan een verkeerde URL ingeladen worden. De gebruiker denkt op deze manier dat de website de echte website is welke men verwacht, terwijl dit duidelijk niet het geval is. Wanneer de gebruiker dit niet in de gaten heeft kan een phisher dit lek misbruiken.

Voor mensen die gebruik kunnen maken van IE7 heeft Raff een voorbeeld online gezet. En voor mensen die geen gebruik kunnen maken van IE7 bestaat er een filmpje waar de werking op te zien is.