Internet Explorer Address Bar Spoofing Vulnerability...

Se ha encontrado una vulnerabilidad en la Barra de Dirección del Internet Explorer que puede ser explotado por phiser. Esto permite a un atacante inyectar una aplicación shockwave-flash en el Explorador mientras se despliegua otra URL.
Si usted esta cargando un shockwave-flash, pero no se carga completamente, y usted hace el cambio a la windows.location,dos resouces se cargarán al mismo tiempo y la barra de direccion mostrara el despliegue de la ventana nueva. Y cuando el shockwave-flash anterior se termine de cargar completamente, esto activará el IE pero la Barra de Direcciónes no se modificara.
La vulnerabilidad ha sido confirmada en un sistema completamente parchado con IE 6,0 + Microsoft Windows XP SP2 y versiones previas. Usted puede realizar la prueba por usted mismo con el siguiente codigo:

CODIGO

Prueba de Concepto (click en Test de Perfomance)

Si eres vulnerable veras la introducción del flash de buctuong.COM mientras que en la barra de direcciónes se observa http://WWW.Microsoft.COM

Creditos:Hai Nam Luke hainamluke(at)yahoo(dot)com