Koncem listopadu jsem vám dával odkaz na stránku, kde jsou popisovány zatím nezazáplatované bezpečnostní díry v Internet Exploreru. Tehdy jich bylo 11, dnes už jich tam najdete 19. Jenže současnou mediální pozornost si zasloužila chyba další, kterou ani tam ještě nenajdete.

Jde o chybu, která velmi jednoduše umožňuje, že máte v adresním řádku Internet Exploreru napsáno něco, ale ve skutečnosti jste na webu naprosto jiném. Jediná povinnost je, že přesměrování na takovouto stránku se musí provést javascriptem. Taková díra lze samozřejmě využít v případech, kdy se operuje s penězi, takže by teoretický útočník mohl získat kupříkladu číslo vaší kreditky (vy byste si mysleli, že objednáváte normálně ve web shopu, ale ve skutečnosti...).

Sami si můžete udělat jednoduchý test, stačí kliknout na tento odkaz. Dostanete-li se na stránku této zprávy, ale IE bude zobrazovat, že jste na http://zde.je.url.na.neexistujici.web, pak je tato díra u vás účinná.