Netscape schließt XSS-Lücke auf eigenem News-Portal

US-Medienberichten zufolge haben Fans der Social-Networking-Seite Digg.com eine Lücke auf dem konkurrierenden News-Portal von Netscape ausgenutzt, um über eingeschleusten Skripting-Code Besucher mit Spaßmitteilungen in Pop-ups zu überraschen. Welche Lücke sie dafür benutzten, ist nicht genau bekannt. Netscape hatte sich nach dem Neustart seines Online-Portals einigen Ärger eingehandelt, da es sehr viele Elemente von Seiten wie digg übernahm.

Offenbar gab es bis vor Kurzem aber mehrere Schwachstellen auf netscape.com, um Besuchern Javaskripte unterzuschieben, die Netscape wohl längere Zeit bekannt waren. Der Angriff der Digg-Fans lief wahrscheinlich über Skripte in den auf dem Netscape-Portal eingestellten Nachrichten ab.

Zwar wird der Text eines Mitglieds noch mal von einem Netscape-Mitarbeiter vor der eigentlichen Veröffentlichung kontrolliert. Davor erscheint jedoch im Netscape Tracker eine Voransicht. Im Text enthaltener HTML-Code wird dann im Browser des Anwenders ausgeführt. Ein echter Hack der Netscape-Seiten fand also nicht statt.

Mittlerweile soll die Lücke behoben sein, Javascript wird nun aus Texten ausgefiltert. Zusätzlich prangt dem Schreiber der Hinweis "No HTML formatting allowed" entgegen. AOL, Besitzer von Netscape, erklärte, man glaube nicht, dass die Lücke benutzt wurde, um Anwender mit Schadcode zu infizieren.

Siehe dazu auch: (dab)

• Netscape.com hacked, Blogeintrag von F-Secure