Sicherheitsloch in Netscape und Mozilla (Update)

Ein Bug in den Browsern Netscape 6 und Mozilla ermöglicht es Web-Seiten, beliebige lokale Dateien zu lesen.

In Pocket speichern vorlesen Druckansicht 614 Kommentare lesen
Lesezeit: 1 Min.

Ein Bug in den Browsern Netscape 6 und Mozilla ermöglicht es Web-Seiten, beliebige lokale Dateien zu lesen. Der von der Firma GreyMagic entdeckte Fehler ist völlig analog zu einem bereits länger bekannten (und gefixten) Problem in Microsofts Internet-Explorer: Die Sicherheitstests des XMLHTTP-Objekts lassen sich durch eine simple Weiterleitung austricksen. Nach neueren Erkenntnissen lassen sich über diesen Bug sogar Verzeichnisse auslesen, sodass der Angreifer den Inhalt der Festplatte ausspionieren kann.

Betroffen sind laut GreyMagic alle Netscape-Versionen ab 6.1 und Mozilla ab 0.9.7. Bei unseren Tests zeigten auch Linux-Versionen der Browser diesen Fehler.

Die Entwickler des Open-Source-Browsers Mozilla haben bereits reagiert und den Fehler in der CVS-Version behoben (Bugzilla-ID 141061). Nach eigenen Angaben hat GreyMagic Netscape am 24.4. von dem Problem unterrichtet, aber keine Antwort erhalten. Wer sich gegen diesen Bug absichern will, kann jedoch JavaScript abschalten. Auf dem c't browsercheck können Sie testen, ob Ihr Browser verwundbar ist. Dort finden Sie auch eine Anleitung, wie Sie Ihren Browser sicherer konfigurieren. (ju)