Noch drei Löcher im Navigator

Schon wieder haben aufmerksame Internet-User Fehler in Netscape-Browsern gefunden: Der 26jährige Bulgare Georgi Guninski beschreibt einen Navigator-Bug, der einem Angreifer erlaubt, die Einträge im lokalen Cache (Demo) auszulesen oder Verzeichnisse der lokalen Festplattenlaufwerke (Demo) zu erhalten. Die Sicherheitslücke beruht auf JavaScript: Über einen Trick kann man in den betroffenen Versionen 4.5/4.07 ein Fenster im "lokalen Kontext" öffnen, die gewünschten Informationen auslesen und an einen WWW-Server zurückschicken. Bis zur Bereitstellung eines Bugfixes empfiehlt es sich, JavaScript in den Benutzeroptionen (Preferences/Advanced) auszuschalten.

Verschiedene Hinweise in der Sicherheitsmailingliste Bugtraq weisen derweil darauf hin, daß das in den Unix/Linux-Versionen des Navigator 4.5 gar nicht so einfach ist: Das Ausschalten von JavaScript funktioniert hier zwar zunächst normal. Allerdings ist die Skriptsprache nach einem Neustart des Browsers wieder aktiv, obwohl die zugehörige Option noch als abgewählt angezeigt wird. Dieser Fehler soll auch in den Navigator-Pre-Releases für Windows aufgetreten sein, wurde dort aber in der letzten Version behoben.

Unter dem Pseudonym "Themag00ru" ging außerdem eine EMail an Bugtraq, die zeigt, wie ungültige Zeichen in einer URL nach dem Neustart des Browsers dazu führen, daß dieser seine gesamten Benutzereinstellungen als ungültig verwirft und die Datei "prefs.js" überschreibt. Es empfiehlt sich, hiervon ein Backup anzulegen; sie befindet sich im User-Directory innerhalb des Netscape-Verzeichnisses. (nl)