<a href="http://internet.watch.impress.co.jp/cda/news/2004/08/18/4270.html">IEにまたもやURLを偽装できる脆弱性が発見される</a>
JavaScript を解読したところ、こんな感じかな。
- newwindow という名前をつけて新しいウインドウを開く
mywindow = window.open("res2res://nonexisting.dll/nonexisting","newwindow");
- そっちでいろいろごにょごにょ。yahoo.com のページを開いたり、フォーカスを変更したり、not found な URL にアクセスしたり。
- <a href="/xxxx/" target="newwindow"> をクリックすると、アドレスバーに表示されていた URL が(yahoo.comから)変わらない
アドレスバーの文字列が変わらないと脆弱性になるわけです。ところが、手元の Donut RAPT #48 で実験したところ、ウインドウ名が有効ではなかったため、再現しませんでした。