Volgens de beveiligingsexperts van het Deense onderzoeksbureau kunnen aanvallers met het nieuwe lek vervalste url's tonen in een popup-scherm.

Kwaadwillenden zouden hier misbruik van kunnen maken en zo een potentieel slachtoffer iets laten downloaden van een zogenaamd legitieme website, zo meldt Secunia in zijn advisory.

Microsoft is inmiddels op de hoogte gebracht door Secunia en bevestigt het beveiligingsrisico. Op de site van Secunia staat een test waarmee IE7-gebruikers de url-spoofing in de praktijk kunnen zien.

Een eerder door Secunia ontdekt lek in IE7, dat werd onthuld op de dag van de introductie van de nieuwe browser, werd door Microsoft afgedaan als 'technisch onjuist'.

Hoewel de softwarefabrikant dat bewuste lek niet weerlegt, zit het gat volgens Microsoft niet in IE7 maar in een component van Outlook Express.

Overigens was Secunia verrast door deze redenatie van Microsoft, omdat het eerste lek alleen via de browser kan worden misbruikt. "Technisch gezien kan Microsoft gelijk hebben, maar voor een gebruiker of beheerder maakt dat weinig uit." Bron: Techworld