De acordo com um alerta do US-CERT, um exploit prova de conceito foi publicado para uma nova vulnerabilidade 0day que poderia ser usada por uma variedade de ataques maliciosos contra usuários do Windows executando o IE 6, IE 7 e IE 8 beta 1.
O código, publicado por 'sirdarckat', mostra como a vulnerabilidade pode ser explorada para sequestrar um iFrame em um site legítimo e assim capturar o que o usuário digita no teclado. Isto ocorre por que o Internet Explorer não consegue restringir propriamente o acesso aos frames do documento, permitindo que um atacante modifique o conteúdo dos frames em um domínio diferente.
A imagem abaixo (de uma prova de conceito criada pelo pesquisador Aviv Raff) mostra a página inicial do Google em um frame sequestrado dentro do Windows Update. As implicações de segurança são assustadoras:
Mais informações
