Il serait possible de piéger un lien, sur un site Web ou dans le corps d'un email, pour que s'ouvre une fenêtre pop-up dont le titre évoque celui d'un site de confiance. Munie d'un formulaire à l'apparence officielle, cette fenêtre pourrait donc être utilisée pour récupérer des informations confidentielles auprès des internautes. La technique, couramment utilisée dans les attaques de type phishing, n'a rien de neuf : baptisée « spoofing », elle consiste à dissimuler la véritable adresse d'une page derrière un leurre. Secunia a reproduit la faille sur une page de test (anglais).
Christopher Budd précise qu'un site répertorié par Microsoft comme un site de phishing ne pourrait pas tirer profit de cette faille, car l'accès serait bloqué par le filtre anti-phishing d'Internet Explorer 7, et ajoute qu'aucune attaque menée par ce biais n'a encore été recensée. De plus, un simple clic dans la fenêtre pop-up ouverte suffirait à afficher automatiquement la véritable adresse de la page concernée. Les risques qu'un internaute se laisse piéger, en cas d'éventuelle attaque, sont donc minimes.
Depuis leur sortie respective, Internet Explorer 7 et Firefox 2 font tous deux l'objet d'un examen intensif, experts et amateurs mettant un point d'honneur à découvrir le plus rapidement possible failles et problèmes. Ainsi, une vulnérabilité qualifiée de critique a été remontée cette semaine jusqu'à au sujet de Firefox 2. La fondation a toutefois démenti l'existence de cette faille, qui date de précédentes versions du navigateur, en indiquant qu'elle était corrigée depuis plusieurs mois.
