Cara Memanfaatkan Celah IE

Cara Memanfaatkan Celah IE, Browser Internet Explorer 7 (IE 7) sudah memiliki fitur keamanan yang cukup lengkap, termasuk untuk mencegah penipuan. Namun ternyata ada sebuah celah yang bisa memanfaatkan fitur IE 7 untuk menipu.

Celah tersebut diungkap oleh seorang pengembang software asal Israel bernama Aviv Raff dalam blog-nya Aviv.Raffon.net. Celah tersebut menurut Aviv memanfaatkan cara IE 7 menangani file lokal navcancl.htm. File tersebut merupakan file yang muncul jika pengguna gagal mengakses sebuah halaman web. Kegagalan bisa disebabkan oleh banyak hal, termasuk gangguan koneksi internet.
Saat sebuah halaman gagal diakses, IE akan menampilkan halaman lokal dengan alamat res://ieframe.dll/navcancl.htm. Alamat asli halaman yang gagal diakses akan dituliskan setelah nama file navcancl.htm, misal: res://ieframe.dll/navcancl.htm#http://www.site.com.

Namun, pada IE 7, alamat halaman lokal akan dihilangkan dan hanya alamat asli situs yang ditampilkan. Fitur tersebut, menurut Aviv, digabung dengan celah cross site sripting untuk halaman lokal membuka peluang bagi pelaku untuk menyisipkan kode pada halaman lokal yang diakses IE 7.

"Untungnya, Internet Explorer kini (versi 7-red) menjalankan sumberdaya lokal itu pada 'zona internet', sehingga kelemahan ini tak bisa untuk menjalankan kode tertentu (misalnya, virus-red)," Aviv menjelaskan.

Kemungkinannya, lanjut Aviv, kelemahan ini digunakan untuk menipu pengguna internet. Caranya? Pertama-tama pihak jahat akan membuat tautan yang sebenarnya menuju ke halaman lokal navcancl.htm namun bagi pengunjung seakan-akan menuju halaman web tertentu, misalnya rekening bank.

Kemudian, IE 7 akan menampilkan halaman navcancl.htm dengan opsi 'Refresh This Page'. Pengguna bisa jadi akan mengklik 'Refresh This Page' karena mengira ada problem pada koneksi. Jika itu dilakukan, pengguna bisa diarahkan pada halaman penipuan. Pengguna mungkin akan tertipu karena alamat yang tertera pada IE 7 adalah alamat yang sah.

Microsoft mengatakan akan menyelidiki celah tersebut. Namun hingga kini Microsoft belum menemukan adanya aksi penipuan yang memanfaatkan celah IE 7 itu.

Kelemahan ini, menurut Aviv, berpengaruh pada semua versi IE 7. Baik pada Windows XP maupun pada Windows Vista. Belum diketahui apakah aksi penipuan dengan memanfaatkan celah itu bisa dihalau oleh fitur anti phishing IE 7.