Seit rund 71 Tagen gibt es im Internet Explorer 7 eine ungepatchte Sicherheitslücke, mit der ein Angreifer ein Cross-Site Scripting durchführen kann.
Wie die Sicherheitslücke ausgenutzt werden kann, kann man in diesem Test sehen. Sobald man auf „Aktualisieren“ klickt, wird man umgeleitet (hier allerdings auf die Seite von Secunia). Verantwortlich für die Sicherheitslücke ist die Datei navcancl.htm.
An input validation error exists in the local resource page „navcancl.htm“ when generating the „Refresh the page“ link. This can be exploited to inject arbitrary script code to e.g. spoof the contents of an arbitrary site when the user clicks on the „Refresh the page“ link.
Ein Patch oder Workaround gibt es bisher nicht. Es wird daher empfohlen keinen Links von unbekannten Seiten zu folgen und nicht auf „Aktualisieren Sie die Seite“ zu klicken. Oder man nutzt einfach einen anderen Browser wie bspw. Opera, da funktioniert es nämlich nicht 😉
