Het beveiligingsbedrijf Secunia maakte bekend een nieuw lek gevonden te hebben in Internet Explorer. Microsoft heeft echter hierop geantwoord dat het geen lek is, maar een ‘gewone functie’. Microsoft is dan ook niet van plan om een patch te gaan uitbrengen.
Volgens Secundia zouden hackers een JavaScript-popup kunnen laten verschijnen op vertrouwde, legale sites. Hierdoor kan de internetgebruiker denken dat die popup bij die site hoort.
De hacker kan daarop inspelen en bijvoorbeeld vragen om bepaalde gegevens in te voeren. Hierdoor kunnen de hackers wachtwoorden en andere gegevens bemachtigen.
Deze methode via e-mail is ook wel bekend als Phishing.
Microsoft heeft niet ontkend dat de popups op deze manier kunnen misbruikt worden, maar laat wel weten geen patch uit te brengen, aangezien het over elkaar verschijnen van webpagina’s een gewone functie is.
"Het is niet meer dan een voorbeeld van hoe standaard webbrowsertechnologie kan worden misbruikt voor phishing", liet een woordvoerder van Microsoft weten.
Deze uitspraak wordt onder meer ondersteund door het feit dat ook andere browsers (zoals Safari, iCab, Firefox, Camino) kwetsbaar zijn.
Opera heeft hierop echter wat gevonden. Wanneer popups verschijnen toont de adresbalk altijd hun ware afkomst, zodat de gebruikers in één oogopslag kunnen zien of de popup bij de website behoort die ze op dat moment bekijken.