Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-321

[Generic/Netscape] Schwachstelle im Netscape Communicator
(2001-04-12 07:08:47+00)

Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2001/04/msg00149.html

Durch eine Schwachstelle im Netscape Communicator (vor Version 4.77) können arglistige Webseiten Informationen wie beispielsweise die History über JavaScript auslesen.

Betroffene Systeme

Typ der Verwundbarkeit
design flaw: nichtintendierte Ausführung aktiver Inhalte

Beschreibung
Der Netscape Communicator (vor Version 4.77) besitzt eine Schwachstelle im JavaScript-Handling.
Durch das "about:"-Protokoll kann der Benutzer verschiedene Informationen über den Netscape Communicator abrufen, so zeigt beispielsweise

an.

Der Netscape Communicator verarbeitet die Kommentarzeilen in den Informationsseiten von GIF-Dateien nicht korrekt. Somit können darin enthaltene JavaScript Befehle beim Aufrufen von arglistigen Webseiten ausgeführt werden. In Kombination mit dem "about:"-Protokoll können arglistige Webseiten Informationen wie etwa die History (angesurfte Webseiten) oder Netscape-Konfigurationen (z.B. eingetragene Emailadressen) des Surfers auslesen.

Gefahrenpotential
mittel
(Hinweise zur Einstufung des Gefahrenpotentials.)

Gegenmaßnahmen

Gerüchte, denen zufolge auch die Version 4.77 betroffen sein soll, haben sich nicht bestätigt.

Workaround

Demonstration der Lücke
(Ausführung auf eigene Gefahr!)
http://dividuum.de/security/netscape/ns476gifcomment-demo.php4

Weitere Information zu diesem Thema

(tf)

Weitere Artikel zu diesem Thema:

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=321