Non c’è allarme, ma c’è il primo peccato veniale per Internet Explorer 7: Secunia comunica con il bollettino SA22542 che una vulnerabilità «less critical» è stata scoperta nel nuovo browser Microsoft e verificata anche su Windows XP SP2. Un proof-of-concept è disponibile nella scheda illustrativa, mentre la scoperta della vulnerabilità è rimasta in questo caso anonima.
Il proof-of-concept chiarisce il problema: un codice JavaScript è in grado di veicolare l’utente su un sito web facendo comparire una pop-up che con tale sito non ha nulla a che vedere. L’esempio è portato avanti sul sito Microsoft: un click sul link appositamente costruito porta l’utente su microsoft.com, ma nel contempo apre una pop-up con url apparentemente rapportabile al sito stesso, ma contenente invece codice e contenuti che con Microsoft non hanno nulla a che vedere. È evidente come una simile tecnica possa aprire a possibili attacchi di spoofing.
Formalmente trattasi della prima vera vulnerabilità di Internet Explorer 7 in quanto un problema precedente, attribuito inizialmente al browser Microsoft, è invece stato smontato dalla Microsoft stessa girando su un componente di Outlook Express la responsabilità del bug.