Relativně brzy po první drobné skulince v Internet Exploreru 7, která však není nějak moc nebezpečná, je tu další, o které se hovoří jako o první skutečné díře v IE7. Ono se tak o ní hovoří poněkud nešťastně, správně by měla být označena jako první, která je přímo specifická pro IE7, nicméně má i své CVE číslo (byť zatím ve stádiu „candidate“). Její nebezpečnost však také není nikterak velká, jde o klasický „phishing“, kdy by se vás někdo mohl snažit nachytat na švestkách drobnou úpravou adresního řádku pop-upového okna. Vlastně jde o zneužití způsobu, jakým IE7 v pop-up okně zobrazuje skutečnou adresu. Pokud totiž bude odkaz patřičně dlouhý s obsahem určitých znaků a potenciální útočník nastaví dobře parametry okna, může neznalého uživatele zmást a přesvědčit jej, že okno, které se otevřelo, zobrazuje důvěryhodnou stránku, zatímco se pohybuje na stránce útočníka. Neznalý uživatel pak může do zdánlivě důvěryhodné stránky zadat třeba nějaké citlivé údaje, které by prozrazovat neměl.

Pokud již používáte Internet Explorer 7, můžete si tento trik neškodně vyzkoušet na webu Secunie. Adresní řádek v pop-up okně by měl zobrazovat adresu, která bude vypadat jako od Microsoftu (obrázek vlevo). Když si však adresu skutečně celou rozbalíte, zjistíte, že jste vlastně stále na Secunii. Námi pořízené obrázky pocházejí rovnou z pre-RTM verze Windows Vista (build 5840). „Phishing filtr“ v IE7 by vás však měl na případné stránky skutečných útočníků upozornit.

Nakonec ještě dodejme, že IE7 (stejně jako mnohé jiné prohlížeče) trpí starým známým problémem vkládání obsahu do jiného okna. I tento test si můžete na Secunii vyzkoušet.