Uma vulnerabilidade cross-domain ainda não corrigida no Internet Explorer 6 pode expor os usurários do Windows ao seqüestro de cookies e roubo de credenciais, de acordo com um alerta dado por pesquisadores de segurança.
Detalhes da vulnerabilidade foram postados online pelo Ph4nt0m Security Team (tradução aqui). A falha afeta o Internet Explorer 6 no Windows XP SP3 e SP3. O Internet Explorer 7 não é afetado porque a Microsoft mudou a forma como o browser lida com URLs do protocolo Javascript para impedir este tipo de ataque.
O pesquisador de segurança Aviv Raff criou uma página de teste que confirma o vetor de ataque no IE 6. A screenshot abaixo mostra um script carregado em um domínio (raffon.net) mostrando um cookie em um domínio diferente (google.com):
Na falta de uma correção temporária, os usuários do IE 6 devem fazer o upgrade para o IE 7 ou usar outro browser.
