Sie sind hier: Home » Aktuelle Meldungen » Meldung
Meldung Nr: RUS-CERT-321

[Generic/Netscape] Schwachstelle im Netscape Communicator
(2001-04-12 07:08:47+00) Druckversion

Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2001/04/msg00149.html

Durch eine Schwachstelle im Netscape Communicator (vor Version 4.77) können arglistige Webseiten Informationen wie beispielsweise die History über JavaScript auslesen.

Betroffene Systeme

  • Netscape Communicator vor Version 4.77

Typ der Verwundbarkeit
design flaw: nichtintendierte Ausführung aktiver Inhalte

Beschreibung
Der Netscape Communicator (vor Version 4.77) besitzt eine Schwachstelle im JavaScript-Handling.
Durch das "about:"-Protokoll kann der Benutzer verschiedene Informationen über den Netscape Communicator abrufen, so zeigt beispielsweise

  • about: die Netscape Version
  • about:license die Lizenzbedingungen
  • about:config die Netscape Konfiguration
  • about:global die History
an.

Der Netscape Communicator verarbeitet die Kommentarzeilen in den Informationsseiten von GIF-Dateien nicht korrekt. Somit können darin enthaltene JavaScript Befehle beim Aufrufen von arglistigen Webseiten ausgeführt werden. In Kombination mit dem "about:"-Protokoll können arglistige Webseiten Informationen wie etwa die History (angesurfte Webseiten) oder Netscape-Konfigurationen (z.B. eingetragene Emailadressen) des Surfers auslesen.

Gefahrenpotential
mittel
(Hinweise zur Einstufung des Gefahrenpotentials.)

Gegenmaßnahmen

Gerüchte, denen zufolge auch die Version 4.77 betroffen sein soll, haben sich nicht bestätigt.

Workaround

  • Deaktivieren Sie JavaScipt (Edit | Preferences | Advanced | Enable JavaScript)

Demonstration der Lücke
(Ausführung auf eigene Gefahr!)
http://dividuum.de/security/netscape/ns476gifcomment-demo.php4

Weitere Information zu diesem Thema

(tf)

Weitere Artikel zu diesem Thema:

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.