Verrat durch JavaScript

Einige aktuelle JavaScript-Implementierungen erlauben nach Angaben des amerikanischen CERT/CC (Computer Emergency Response Team Coordination Center) das Ausspähen weborientierter Benutzerdaten. So sollen besuchte WWW-Seiten, die Inhalte übertragener HTML-Forms sowie Cookies fremder Server lesbar sein. Die Auswertung dieser Daten liefert ein gutes Bild von den Interessen des Benutzers und kann für die Erstellung eines Persönlichkeitsprofils mißbraucht werden. Darüber hinaus enthalten HTML-Forms und Cookies bisweilen Zugangsinformationen für Internet-Dienste (z.B. UserID und Paßwörter).

Nähere Angaben zu den betroffenen Browsern wurden vom CERT/CC nicht gemacht. Microsoft hat aber angekündigt, nächste Woche einen Patch für den Internet Explorer 3.0.2 zu veröffentlichen (http://www.microsoft.com/ie/security/update.htm). Netscape hält unter http://home.netscape.com/download/ die Navigator Version 3.0.2 bereit, die gegen diese Sicherheitslücke bereits immun sein soll - ein Bugfix für den Communicator soll nächste Woche folgen. Da aufgrund der Natur des Angriffs "von innen" Firewalls oder SSL-Verbindungen keinen Schutz bieten können, empfiehlt das CERT/CC, JavaScript bis zur Verfügbarkeit resistenter Browser-Versionen abzuschalten. (nl)