Gebruikers van Internet Explorer 6, 7 en de betaversie van 8 zijn gewaarschuwd voor een nieuw ontdekt lek waarvan exploit code online is verschenen. Het lek maakt het mogelijk om een iframe op een legitieme website te kapen en dan de toetsaanslagen van het slachtoffer op te slaan. Dit is mogelijk omdat Internet Explorer niet goed de toegang tot de frames van een document beperkt, waardoor een aanvaller de inhoud van een frame in een ander domein kan wijzigen. Doordat het cross-domain security model van de browser wel werkt, zijn de mogelijkheden van een aanvaller beperkt.
Dat neemt niet weg dat de aanval zeer vervelende gevolgen kan hebben. Door het slachtoffer een kwaadaardige website te laten bezoeken, kan de aanvaller toetsaanslagen die op andere websites worden ingevoerd onderscheppen. Er is nog geen update voor de kwetsbaarheid. De enige oplossing is dan ook het uitschakelen van JavaScript of het overstappen op een andere browser.
Beveiligingsonderzoeker Sirdarckcat plaatste de volgende exploit online zodat mensen hun browser kunnen testen.
Deze posting is gelocked. Reageren is niet meer mogelijk.