Secunia maakte recent bekend een 'lek' te hebben ontdekt waarbij de content van een popup-venster door kwaadwillenden kan worden veranderd. Zodoende zouden phishingacties kunnen worden uitgevoerd.

Naar nu blijkt is dit al sinds 2004 mogelijk in Internet Explorer. In een posting op het Microsoft Security Response Center-blog stelt programmamanager Christopher Budd dat Microsoft na een onderzoek in 2004 al heeft geconcludeerd dat het niet om een lek gaat.

Redenatie was hierbij volgens Budd dat een eventuele aanval pas kon plaatsvinden nadat een gebruiker zelf heeft besloten de pagina te openen, zonder hierbij de url van de site te verifiëren of te kijken of er een beveiligde verbinding werd gebruikt.

"In andere woorden, het scenario vereist dat je de beveiligingsfuncties die speciaal zijn ingebouwd tegen phishing en spoofing niet gebruikt. Daarom hebben we in 2004 al gezegd dat dit niet voldoet aan onze definitie van een beveiligingslek."

Wel wijst Budd er op dat Microsoft in IE7 heeft besloten aanvullende maatregelen te nemen. Zo wordt de url altijd getoond en is er een phishingfilter ingebouwd.

"Wat we hierover in 2004 hebben gezegd, geldt nog steeds. Vertrouw nooit een website zonder vooraf zowel de url als ssl-verbinding van de website te verifiëren", aldus Budd. Bron: Techworld