Skats - Einzelnen Beitrag anzeigen - JavaScript-Lücke in Netscape 4.76

12. April 2001, 17:39

Moin.

JavaScript-Lücke in Netscape 4.76

Ein Sicherheitsloch im Netscape Communikator 4.76 ermöglicht das Auslesen der History, berichtet GeNUA Security in ihrem aktuellen Newsletter. Nach Angaben des Sicherheitsunternehmens ist es mit dem in Netscape implementierten "about:"-Protokoll in Kombination mit JavaScript möglich, extern die History des Browsers auszulesen. Normalerweise darf JavaScript nicht auf Dokumente außerhalb der eigenen Domain zugreifen, aber ein Angreifer kann dies durch einen Trick umgehen: Wenn im Kommentar-Block eines GIF-Bildes JavaScript eingebunden wird, maskiert Netscape 4.76 diesen Code nicht aus. Hat das Opfer das GIF-Bild geladen, so kann das "about:"-Protokoll das darin enthaltene JavaScript lokal ausführen.

Eine Demonstration der Sicherheitslücke steht unter
www.dividuum.de/security/netscape/

zur Verfügung. Interessierte Anwender sollten aber vor dem Ausprobieren die Netscape-History löschen beziehungsweise darauf achten, dass sie keine sensitiven Daten enthält.

Ab der Netscape-Version 4.77 wurde der Fehler behoben; Benutzer von Netscape 4.76 sollten entweder ihre Browser-Version aktualisieren oder JavaScript deaktivieren.

Huelgueuer

12. April 2001, 17:39	#1
hülgüür Beiträge: n/a	JavaScript-Lücke in Netscape 4.76 Moin. JavaScript-Lücke in Netscape 4.76 Ein Sicherheitsloch im Netscape Communikator 4.76 ermöglicht das Auslesen der History, berichtet GeNUA Security in ihrem aktuellen Newsletter. Nach Angaben des Sicherheitsunternehmens ist es mit dem in Netscape implementierten "about:"-Protokoll in Kombination mit JavaScript möglich, extern die History des Browsers auszulesen. Normalerweise darf JavaScript nicht auf Dokumente außerhalb der eigenen Domain zugreifen, aber ein Angreifer kann dies durch einen Trick umgehen: Wenn im Kommentar-Block eines GIF-Bildes JavaScript eingebunden wird, maskiert Netscape 4.76 diesen Code nicht aus. Hat das Opfer das GIF-Bild geladen, so kann das "about:"-Protokoll das darin enthaltene JavaScript lokal ausführen. Eine Demonstration der Sicherheitslücke steht unter www.dividuum.de/security/netscape/ zur Verfügung. Interessierte Anwender sollten aber vor dem Ausprobieren die Netscape-History löschen beziehungsweise darauf achten, dass sie keine sensitiven Daten enthält. Ab der Netscape-Version 4.77 wurde der Fehler behoben; Benutzer von Netscape 4.76 sollten entweder ihre Browser-Version aktualisieren oder JavaScript deaktivieren. Huelgueuer