Datenraub per Navigator

Der Bulgare Georgi Guninski hat erneut ein Sicherheitsloch in einem Web-Browser gefunden: Der neue Fehler in den 4er-Versionen von Netscapes Navigator ermöglicht es, eine beliebige Datei vom Computer eines WWW-Surfers abzuziehen, wenn er eine entsprechend präparierte WWW-Seite besucht - bei entsprechenden Sicherheitseinstellungen soll auch ein Angriff per EMail möglich sein.

Dabei muß der Angreifer den Pfad und Dateinamen nicht vorher wissen; die Sicherheitslücke gestattet auch, Verzeichnisinhalte zu lesen. Die Attacke benötigt sowohl JavaScript als auch Java. Betroffen sind nach ersten c't-Tests und Berichten in der Sicherheitsmailingliste Bugtraq alle Windows-Versionen, Linux/Unix sowie Macintosh-Rechner. Eine Demonstration für Windows ist auf Guninskis Web-Seiten zu finden. (nl)