Menü

Netscape 4.77 doch ohne JavaScript-Bug (Update)

Das kürzlich bekannt gewordene Sicherheitsloch im Netscape Communikator 4.76 ist in der Folgeversion 4.77 gestopft. Der von Florian Wesch auf seiner Website dokumentierte Bug ermöglicht unter anderem das Auslesen der History des Browsers. Beim Test sollte man allerdings genau hinschauen, um nicht zu falschen Schlussfolgerungen zu kommen: Zunächst zeigt der Browser die Ergebnisse des about:global-Befehls an. Teile dieser Daten sind nur in der Browser-Version 4.76 von außen abrufbar. Florian Wesch kündigte in Gespräch mit heise online an, den Test zu überarbeiten, um Missverständnisse künftig auszuschließen.

Zum Auslesen der History-Daten muss JavaScript aktiviert sein. Wenn im Kommentar-Block eines GIF-Bildes JavaScript eingebunden wird, maskiert Netscape in den Versionen 4.76 diesen Code nicht aus. Hat das Opfer das GIF-Bild geladen, so kann das "about:"-Protokoll das darin enthaltene JavaScript lokal ausführen.

Anzeige

Entwarnung gibt es hingegen für Netscape 6. Die aktuelle Browserversion bestand den Test und gab die History nicht preis. (hod)

Anzeige