Der Sicherheitsspezialist Michal Zalewski hat Informationen zu insgesamt vier neuen Schwachstellen veröffentlicht, die sowohl Microsofts Internet Explorer, als auch Mozilla Firefox betreffen. Bisher sind von keinem der beiden Hersteller entsprechende Updates angekündigt worden.

Die schwerwiegendste Lücke existiert wie so oft im Internet Explorer. Ein Angreifer kann nach Angaben Zalewski eine Update Race Condition beim laden von Internetseiten mit JavaScript ausnutzen und bei der Navigation von einer Seite zur nächsten beliebigen JavaScript-Code ausführen. Auf diese weise kann er die Rechte der zuerst geladenen Seite auf der folgenden ausnutzen.

Bei Firefox kann ein Angreifer laut Zalewski einen Angriff gegen about:blank Frames ausführen. Der Forscher bezeichnet diese Art von Attacken als Cross-Site IFRAME Hijacking. Die beiden anderen von Zalewski veröffentlichten Schwachstellen werden als mittelschwere Bedrohung eingestuft.

Im Fall von Firefox kann ein Angreifer die beim Herunterladen von Dateien auftretende Verzögerung bis zum Anzeigen des Download-Fensters nutzen, um ohne das Wissen oder die Zustimmung des Anwenders Programmcode herunterzuladen und auszuführen.

Die vierte neue Lücke betrifft wiederum den Internet Explorer, allerdings nur in der Version 6. Anders als beim Internet Explorer 7 kann ein Angreifer in der älteren Ausgabe unter Umständen die vom Browser angezeigte URL fälschen.