Microsoft naujausioje naršyklėje Internet Explorer 7 aptikta vadinamoji nulinės dienos spraga, leidžianti pakeisti adreso eilutėje įrašytą URL. Taip naudotojas gali būti nukreiptas į padirbtą tinklalapį, o adresas atrodys visiškai teisėtas.
Pažeidžiamumą šią savaitę aptiko tyrėjas Michal’as Zalewski’is. Spraga atsiranda klaidingai apdorojant JavaScript metodą document.open(), naudojamą svetainės atidarymui naujame lange, kur jos adresas perduodamas kaip metodo parametras.
Adreso pakeitimas įvyksta naudotojui bandant išeiti iš specialiai suformuoto puslapio, adreso eilutėje surinkus naują URL. Adresas lieka tokiu, kokį jį įvedė naudotojas, o naršyklė toliau pateikinėja kenkėjų sukurto puslapio turinį.
Zalewski’io žodžiais tariant, pažeidžiamumas nebuvo tikrinamas su Internet Explorer 6. Microsoft tiria pranešimą.