A Secunia biztonsági cég kutatói részlege szerint egy támadás lehetséges forgatókönyve az lennek, hogy egy éppen internetet böngésző gyanútlan felhasználó egyszerre látogat meg megbízható és kártékony weboldalakat. Ebben az esetben a kártékony oldal egy, a legtöbb böngészőben benne rejlő régi funkció miatt képes arra, hogy a megbízható oldal pop-up ablakába rossz szándékú kódot és információt helyezzen el. A sebezhetőséget eddig még nem aknázta ki senki, azonban egy nagyonon hatásos módszert jelentene az online csalások elkövetéséhez, amelyet más néven phising-tevékenységnek neveznek - mondta el a Secunia technológiai vezetője, Thomas Kristensen csütörtökön.
Míg a legtöbb felhasználó nem látogat szándékosan kártékony weboldalakat, a linkek követésével gyakran botlanak bele ilyenekbe, amely viszonylag megszokott jelenséggé teszi azt a webböngészők körében, hogy egyszerre vannak megnyitva megbízható- és kétes eredetű honlapok. Ez különösen veszélyes lehet, ha például a kártékony weboldal egy megbízható banki weboldal pop-up ablakába helyez félrevezető információkat. Még ha a ravaszabb felhasználók ellenőrzik is a titkosítást jelző kis sárga lakatot a böngésző státusz-sorában, az oldal pop-up ablakában még mindig megjelenhet hamis információ. "Ez egy meglepően hatásos módjává válhatna annak, hogy arra vegyenek rá, vagy csábítsanak embereket, hogy olyan dolgokat tegyenek meg, amelyeket nem szándékoztak. - figyelmeztet Kristensen.
A sebezhetőség majdnem minden böngészőt érint, beleértve az Internet Explorer-t (IE), a Mozilla-t, a Firefox-ot, az Opera-t, a Konqueror-t, a Safari-t és a Netscape-et is. A Secunia szerdán figyelmeztette a nyilvánosságot, miután már egy hónapja figyelmeztették a böngészők készítőit. A Microsoft csütörtökön jelezte, hogy kivizsgálta a jelentést, és úgy találta, hogy a Windows XP SP2 rendszerű, és a cég tanácsait megfogadó felhasználók kevésbé vannak kitéve veszélynek. A jelentésben szereplő funkcionalitás lehetővé teszi, hogy egy weboldal a címsor megjelenítése nélkül nyisson meg, vagy használjon fel újra egy ablakot. Az SP2 felhasználók kapnak jelzést: egy státusz-sort fognak látni a felbukkanó ablakban, ahol megnézhetik, látszik-e a biztonságot jelölő lakat-ikon, vagy sem - mondta a Microsoft. Az Opera is belefoglalta óvintézkedéseit böngészőjének legújabb béta-verziójában.
Kristensen beismerte, hogy a sebezhetőség nyilvánosságra hozásával új eszközt ad a scammer-ek kezébe, azonban úgy érezte, a nyilvánosságot figyelmeztetnie kell, mert nem minden böngésző-fejlesztő reagált az egy hónappal ezelőtti jelzésre. "Úgy gondoltuk, jobb, ha nyitottan beszélünk erről, és segítséget nyújtunk a probléma orvosolásában."
