Laut Testticker wurde im Internet Explorer ein Fehler entdeckt, um die tatsächliche URL in der Adresszeile zu verschleiern und vorzugeben, eine ganz andere Webseite zu besuchen. Damit können Anwender dazu gebracht werden, sensitive Daten an eine bösartige Webseite zu übermitteln und dabei in den Glauben versetzt werden, diese Daten an eine vertrauenswürdige Seite zu senden.
Der Fehler tritt mindestens im Internet Explorer 6.0, womöglich aber auch in früheren Versionen des Browsers auf. So genügt das Einfügen der Zeichenfolge %01 vor einem @-Zeichen, um die anschließende bösartige Web-Adresse zu verstecken. Um etwa die URL http: //www.microsoft.com anzeigen und darüber die betrügerische Homepage aufrufen zu lassen, würde die Beispiel-URL folgendermaßen aussehen: http: //www.microsoft.com%01@zapthedingbat.com/ ... 1/vun2.htm
testen kann man das hier
https://www.zapthedingbat.com/security/ex01/vun1.htm
Archiv