Aanvallers kunnen via het lek content op legitieme websites vervalsen, aldus het onderzoeksbureau. Ze moeten daarvoor wel de doelnaam van het openstaande venster kennen.

Het lek komt voor op een gepatcht systeem met IE7 en Windows XP2, zo meldt Secunia in een maandag uitgebrachte advisory. Op de site van Secunia staat een test waarmee IE7-gebruikers kunnen controleren of hun browser kwetsbaar is.

Secunia raadt gebruikers van IE7 aan extra voorzichtig te zijn bij het surfen, zeker als er meerdere sites tegelijk openstaan.

Vorige week maakte Secunia ook al melding van een browserlek. Aanvallers bleken in IE7 vervalste url's te kunnen tonen in een popup-scherm.

Een eerder door Secunia ontdekt lek, dat werd onthuld op de dag van de introductie van de nieuwe browser, werd door Microsoft afgedaan als 'technisch onjuist'. Het gat zat volgens Microsoft niet in IE7 maar in een component van Outlook Express.