Weitere Sicherheitslücke für Netscape bestätigt
Anwender von Netscape sollten erwägen, aus Sicherheitsgründen einen anderen Web-Browser zu benutzen. Eine weitere, ursprünglich in Firefox und Mozilla gefundene Lücke ist auch in Netscape enthalten. Patches gibt es derzeit nicht.
Anwender von Netscape sollten erwägen, aus Sicherheitsgründen einen anderen Web-Browser zu benutzen. Nachdem schon vergangene Woche die bereits in Firefox und Mozilla beseitigten GIF-Schwachstellen für Netscape bestätigt wurden, scheint auch die DOM-Sicherheitslücke (Document Object Model) in Netscape enthalten zu sein. Damit ist es ebenfalls möglich, Schadcode in ein System einzuschleusen und auszuführen. Weder für die GIF- noch für die DOM-Lücke in Netscape sind derzeit Patches verfügbar.
Anders als bei den GIF-Lücken dauerte die Verifizierung des Problems deshalb so lange, weil die Datenbankeinträge zu den Fehlern erst nach dem 25. April der Öffentlichkeit zugänglich gemacht wurden. Insgesamt drei Threads behandeln das Problem und wie es zu lösen ist. Als Workaround empfiehlt das Original-Advisory der Entwickler zwar JavaScript zu deaktivieren, ob das aber immer hilft, ist fraglich. So weist der Entdecker der Lücken in der Diskussion um einen der Fehler darauf hin, dass sich dieser trotzdem ausnutzen lässt, sofern eine Web-Seite XBL (Extensible Binding Language) benutzt.
Wie viele der ursprünglich in Firefox und Mozilla gefundenen Lücken nun in Netscape enthalten sind, müssen weitere Tests zeigen. Mozilla, Firefox und Netscape gingen aus dem gleichen ursprünglichen Quellcode hervor und nutzen mittlerweile die in großen Teilen neu geschriebene gemeinsame Code-Basis der Mozilla-Foundation. Auch der Fehler in der JavaScript-Funktion replace() unter Firefox und Mozilla war wohl schon seit 1997 im Netscape-Code zu finden.
Siehe dazu auch: (dab)
- Netscape DOM Nodes Validation Vulnerabilit, Fehlerbericht von Juha-Matti Laurio