大幅訂正m(__)m　すいません。見やすくしました。
WindowsUpdateが無くて結局IEの脆弱性も放置気味ですがまた新しい？脆弱性みたいです。user@domainの形式で%01@を挟んで渡すと正しく処理できない。

http://www.trusted_site.com%01@malicious_site.com/malicious.html
と渡すと
URLはhttp://www.trusted_site.com　と表示されが
ページはhttp://malicious_site.com/malicious.htmlが表示される。
デモでは
http://www.microsoft.com%01@zapthedingbat.com/security/ex01/vun2.htm　
がhttp://www.microsoft.com　とURLには表示されるが
実際はhttp://zapthedingbat.com/security/ex01/vun2.htmのページが
表示される。
javascript:document.URLとするとよくわかる。(hoshikuzuさんより)

• デモ(zapthedingbat.com)
• Internet Explorer URL Spoofing Vulnerability(secunia.com)
• Zap The Dingbat

おきまりでロシアのところにもデモがある。

• http://www.securitylab.ru/41661.html

手元では

zapthedingbat.comのデモではMSのURLでMSのページがでます。(正しくない)
http://www.microsoft.com%01@zapthedingbat.com/security/ex01/vun2.htm　
を直接打ち込むと
http://zapthedingbat.com/security/ex01/vun2.htmのURLでMSのページが
表示。(正しくない)
ロシアのデモではMSのURLが出てsecuritylab.ruのサイトが表示される。(正しい)
ここは要追加検証

追記：
id:hoshikuzuさんのところで様々な検証があるので以下のポイントより参照　

• tessyさんちを見て驚愕（％０１でURL表示欄を偽装する）

追記2(12/11)：
下のコメントにもありますが単純に「%01@」をURLに渡すだけではダメでバイナリの01hで渡さないといけないようです。
http://code.cside.com/3rdpage/jp/unicode/converter.html
の変換ページで「%01」を1変換して見た目「┌」なバイナリにして@を挟むURLを渡すことで偽装が可能になりました。
悪意のある-リンク　(GoogleのURLでcrosszoeが表示される)
ですがステータスバーでリンク先が
Operaでは　「http://www.google.com┌@crosszone.org/」
IEでは　「http://www.google.com @crosszone.org/」
な感じに見えます。

• id:nozomさんのヒビノキロクにも関連記事。
• Internet Explorerにオンライン詐欺を助長する新たな欠陥(CNET)