Paßwortfalle Communicator

Nach Berichten in der Sicherheits-Mailingliste Bugtraq speichert Netscapes Commnicator 4.5 Mailpaßwörter auch dann, wenn in den Optionen die Speicherung verboten ist. Der Client fragt zwar vor jeder EMail-Abholung nach der Zugangsinformation, speichert sie aber offenbar dennoch in die Datei prefs.js im Netscape-User-Verzeichnis und auf Windows-Systemen zudem in einen Registry-Eintrag (HKEY_CURRENT_USER\Software\Netscape\Netscape Navigator\biff\users\\servers\\password). Die Schwäche scheint nicht auf bestimmte Betriebssystem beschränkt zu sein, allerdings schützt das Filesystem bei Unix/Linux-Rechnern die riskante Datei normalerweise vor neugierigen Blicken. Das Paßwort wird zwar nicht im Klartext gespeichert, soll aber von einem Angreifer dazu mißbraucht werden können, um nach der Übernahme in den eigenen Communicator die EMail des Betroffenen abzuholen. (nl)