Une faille touchant aveuglément un grand nombre de navigateurs a été repéré par Jakob Balle, un chercheur en sécurité informatique. Cette généralité s'explique parce que le bug affecte les boites de dialogue JavaScript, système évidemment commun. Le hic tient spécialement en ce que ces boites n'affichent pas correctement ou n'incluent pas leur origine. Du coup, cela permet, depuis une fenêtre, à une personne malintentionnée d'ouvrir une boite de dialogue piégée en faisant croire à l'usager qu'elle provient d'un site de confiance.

Pensant avoir à faire à ce site sérieux, l'internaute un peu trop sûr de lui pourra ainsi confier aveuglement ses petits secrets (login, mots de passe, numéros de carte, etc.). La preuve par l'image : le site de sécurité Secunia, a mis en ligne un test de vulnérabilité inoffensif pour éprouver son navigateur. On pourra le consulter sur cette page.

L'on sait déjà que sont concernés Microsoft Internet Explorer 6 (à peu près sur toutes les versions de Windows) Microsoft Internet Explorer 5.5 SP2 sous Windows Millennium Edition, Internet Explorer 5.01 SP3 sous Windows 2000 SP3 et sous Windows 2000 SP4 ou sous Macintosh, mais aussi Mozilla version 1.7.8 et antérieures, Firefox version 1.0.4 et antérieures, Camino version 0.8.4 et antérieures, Apple Safari version 2.0 (412) et antérieures et iCab version 2.9.8 et antérieures. Il est recommandé, en attendant une solution officielle, de désactiver le support JavaScript ou, c'est le minimum, de se méfier avant de soumettre dans une fenêtre pop-up des données confidentielles...