Communicator: Gefahr durch JavaScript in Cookies

Bennet Haselton hat auf eine Sicherheitslücke in Netscapes Communicator hingewiesen, der es Angreifern ermöglicht, lokale Dateien auszuspionieren. Die Attacke des US-Freelance-Programmierers basiert auf JavaScript-Code in einem Cookie und einem Fehler bei der so genannten Cross-Frame-Security.

Über einen Trick bringt Haselton den Browser dazu, den Cookie-Code auszuführen, der normalerweise nur ungenutzt auf der Festplatte schlummern dürfte: Er stellt die Cookie-Datei in einem Frame (Teilfenster) dar, ruft sie aber über eine modifizierte File-URL ".../cookies.txt?/.html" auf. Durch diesen Anhang interpretiert der Communicator die Cookie-Datei als HTML-Dokument und startet den enthaltenen JavaScript-Code. Diese Umwidmung funktioniert bei File-URLs übrigens auch mit anderen Dateierweiterungen und könnte für die Ausweitung anderer Sicherheitslücken sorgen, die auf bestimmte Dateitypen begrenzt sind.

Um an den Inhalt einer anderen lokalen Datei zu gelangen, muss eine böswillige Webseite diese in einen zweiten Frame laden. Weil beide Frames in derselben "Domain" liegen (lokal), kann der JavaScript-Code aus der Cookie-Datei auf den Inhalt des zweiten Frames zugreifen. Die Übertragung an den neugierigen Server kann laut Haselton unter anderem über das SRC-Attribut eines dritten Frames erfolgen. Seine Web-Demonstration schickt beispielsweise die letzte Zeile der Bookmark-Datei an den Server – allerdings funktioniert die Demo auf Grund von einkodierten Pfaden nur wenn der Communicator unter c:\program files\... installiert ist.

Wegen der immer wieder auftretenden Sicherheitslöcher im Zusammenhang mit aktiven Inhalten empfiehlt c't, JavaScript, Java, ActiveX und Co. grundsätzlich auszuschalten und nur ausgewählten vertrauenswürdigen Sites zu gestatten. (nl)