12. April 2001, 17:39 | #1 |
Beiträge: n/a
|
JavaScript-Lücke in Netscape 4.76
Moin.
JavaScript-Lücke in Netscape 4.76 Ein Sicherheitsloch im Netscape Communikator 4.76 ermöglicht das Auslesen der History, berichtet GeNUA Security in ihrem aktuellen Newsletter. Nach Angaben des Sicherheitsunternehmens ist es mit dem in Netscape implementierten "about:"-Protokoll in Kombination mit JavaScript möglich, extern die History des Browsers auszulesen. Normalerweise darf JavaScript nicht auf Dokumente außerhalb der eigenen Domain zugreifen, aber ein Angreifer kann dies durch einen Trick umgehen: Wenn im Kommentar-Block eines GIF-Bildes JavaScript eingebunden wird, maskiert Netscape 4.76 diesen Code nicht aus. Hat das Opfer das GIF-Bild geladen, so kann das "about:"-Protokoll das darin enthaltene JavaScript lokal ausführen. Eine Demonstration der Sicherheitslücke steht unter www.dividuum.de/security/netscape/ zur Verfügung. Interessierte Anwender sollten aber vor dem Ausprobieren die Netscape-History löschen beziehungsweise darauf achten, dass sie keine sensitiven Daten enthält. Ab der Netscape-Version 4.77 wurde der Fehler behoben; Benutzer von Netscape 4.76 sollten entweder ihre Browser-Version aktualisieren oder JavaScript deaktivieren. Huelgueuer |
13. April 2001, 13:30 | #2 |
Leronis
Registriert seit: February 2001
Ort: Darkover
Beiträge: 124
|
Ich benutze den NS eh' nicht .....
Der is doch seit der Version 3.xxx extrem muellig *fg* Aber den Opera werd ich mal ausprobieren Greetz Sharra <FONT face="Script MT Bold"><center><FONT size="2"><FONT COLOR="Teal">Stillstand ist der kleine Tod....</FONT c></FONT s></center></FONT f><center><IMG SRC="http://members.tripod.de/Sharra4/sign.gif" border=0></center> |