Secunia 公司21日的警报指出，该漏洞能让网络恶徒在合法的网站上，安排内含恶意JavaScript的自动弹出窗口，进行钓鱼攻击，引诱上
网的民众泄漏密码等个人信息。

Secunia 表示：“问题在于JavaScript对话框不会显示或包含它们的来源，因此能让新的窗口–如即时的
对话框–在合法网站上出现。”

根据Secunia 的研究，最新版的微软IE、IE for Mac、Safari、iCab、Mozilla 、Mozilla Firefox 和Camino全都有这项弱点。Opera 7
和8 也不例外，但8.01版已经修正。

要利用这项弱点，网络恶徒必须引导使用者，从某个恶意网站用新开窗口到另一个真正合法的网站，如网络银行。这时，恶意网站便在合
法的网站上开启一个JavaScript对话框，使用者可能会因此受骗，将个人信息提供给恶意网站。

微软表示正在调查Secunia 的发现。该公司鼓励使用者不要信任未含地址列或钥匙图样等来源验证标签的自动弹出窗口。

Mozilla Firefox 开发人员已经展开行动对抗这类钓鱼攻击。阻挡不明来源的Java和Flash 弹出窗口的补丁程序，已于今年4 月完成。Mozilla
尚未对Secunia 的警告表示意见。

Opera 则于22日证实，其最新的浏览器8.01版将显示自动弹出窗口的来源，让使用者检查其URL ，以确
定其是否来自合法网站。

Opera 的工程副总Christen Krogh对ZDNet UK表示：“这些事情一旦被发现，大家都急着想补救问题。”Krogh 也指出Secunia 将此漏洞
列为“较不严重”，他说：“这种（伎俩）可能骗到某些平常不会上当的使用者提供部分信息给网站，但似乎不是最重要的问题。”