Update für Netscape Browser 8 schließt kritische Sicherheitslücke

Kurz nach Veröffentlichung von Netscapes neuestem Sprößling müssen die zu AOL gehörenden Entwickler das Update auf Version 8.0.1 nachschieben. Bei einem Test in der heise-Security-Redaktion zeigte sich Netscape 8 noch für ein kürzlich in Firefox und Mozilla veröffentlichtes Sicherheitsloch verwundbar. So können nicht vertrauenswürdige Sites dem Browser beim Klick auf einen Link Schadcode unterjubeln.

Netscape Browser 8 kann die Rendering Engine sowohl von Firefox, dem Webbrowser der Mozilla-Foundation, als auch von Microsofts Internet Explorer nutzen. Um nun die Schwachstelle mit dem c't-Browsercheck-Demo nachzuvollziehen, muss der Anwender Netscape allerdings manuell dazu bringen, die Firefox-Engine zu benutzen. Standardmaßig surft Netscape heise Online mit der Engine des Internet Explorer an, da er die Site anhand verschiedener Kriterien als vertrauenswürdig einstuft. Die Demo von heise Security öffnet nur die Eingabeaufforderung -- bösartige Web-Server hätten so einen PC auch mit einem Trojaner infizieren können.

Von heise Security am gestrigen Donnerstag auf die Sicherheitslücke angesprochen, zeigte sich Netscape zunächst erstaunt. Man sei sich keiner Verwundbarkeit rund um die Favicon-Lücke in Firefox und Mozilla -- und nun in Netscape -- bewußt. Erst ein Hinweis auf den c't-Browsercheck überzeugte dann auch Will Harbin, Product Manager Browsers bei Netscape USA, von der klaffenden Lücke. Laut Harbin sei zwar der Fehler prinzipiell bekannt und man habe auch versucht ihn zu patchen. Allerdings standen wohl nicht alle Exploits zur Verfügung, um zu testen, ob die Patches auch wirksam sind.

Allerdings beruht Netscape 8 nach offiziellen Angaben noch auf der verwundbaren Firefox-Version 1.0.3; Netscape 8.0.1 setzt nun auf Firefox 1.0.4 auf. Die automatische Update-Funktion von Netscape zeigt bislang aber noch keine neue Version an. Anwender sollten das aktualisierte Paket im Zweifel manuell herunterladen. (dab)