'Ein böswilliger Mensch müßte also nur etwa einen Nachbau von GMX' Einstiegsseite als "http://www.gmx.de%01@boeseseite.com/gmx.html" ins Web hängen und arglose IE-User drauflocken, um deren Zugangsdaten abzugreifen. Die werden sie guten Mutes eintippen, weil sie ja nur "http://www.gmx.de" in ihres IE Adreßzeile angezeigt bekommen.

Statt der im Golem-Artikel verlinkten Demo-Seite des Bug-Entdeckers "Zap the Dingbat" kann man übrigens auch gleich deren Ergebnisseite im IE öffnen. Der Link in ersterer funktioniert nämlich unnötigerweise nur mit eingeschaltetem JavaScript, obwohl solches zum Ausnutzen des Lecks nicht gebraucht wird (und vermutlich in jedem resputablen IE ohnehin ausgeschaltet sein dürfte). Das ganze klappt auch nicht nur, wie Golem schreibt, mit IE 6 und "womöglich" auch früheren Versionen, sondern ganz sicher auch mit IE 5, nämlich meinem. (Extra dafür gestartet, erstmals seit Monaten! Das nenne ich Einsatz! ;-)

Besondere Eile scheint beim Ausprobieren auch nicht geboten. Schließlich bemerkt schon UserFriendly heute, daß Microsoft dieses Jahr wohl keine Patches mehr liefern wird und Sysadmins deswegen Pause haben. Mehr zu MS' Ankündigung und weiteren neuen Lecks im IE findet sich übrigens auch im Heiseticker gestern.

Bin ich jetzt auch ein MS-Basher? Sei's drum ;-)'

Auch HeiSec berichtete in der Zwischenzeit über die gefälschten URLs und im c't Browsercheck gibt's jetzt auch einen Test dafür, auch ohne JavaScript. Laut BugTraq ist auch die MSIE 5 für den Mac betroffen.