[Generic/Netscape] Schwachstelle im Netscape Communicator
(2001-04-12 07:08:47+00)
Quelle:
http://cert.uni-stuttgart.de/archive/bugtraq/2001/04/msg00149.htmlDurch eine Schwachstelle im Netscape Communicator (vor Version 4.77) können arglistige Webseiten Informationen wie beispielsweise die History über JavaScript auslesen.
Betroffene Systeme
- Netscape Communicator vor Version 4.77
Typ der Verwundbarkeit
design flaw: nichtintendierte Ausführung aktiver Inhalte
Beschreibung
Der Netscape Communicator (vor Version 4.77) besitzt eine Schwachstelle im JavaScript-Handling.
Durch das "about:"-Protokoll kann der Benutzer verschiedene Informationen über den Netscape Communicator abrufen, so zeigt beispielsweise
about:die Netscape Versionabout:licensedie Lizenzbedingungenabout:configdie Netscape Konfigurationabout:globaldie History
Der Netscape Communicator verarbeitet die Kommentarzeilen in den Informationsseiten von GIF-Dateien nicht korrekt. Somit können darin enthaltene JavaScript Befehle beim Aufrufen von arglistigen Webseiten ausgeführt werden. In Kombination mit dem "about:"-Protokoll können arglistige Webseiten Informationen wie etwa die History (angesurfte Webseiten) oder Netscape-Konfigurationen (z.B. eingetragene Emailadressen) des Surfers auslesen.
Gefahrenpotential
mittel
(Hinweise zur Einstufung des Gefahrenpotentials.)
Gegenmaßnahmen
- Update auf Version 4.77 des Netscape Communicator
Workaround
- Deaktivieren Sie JavaScipt (Edit | Preferences | Advanced | Enable JavaScript)
Demonstration der Lücke
(Ausführung auf eigene Gefahr!)
http://dividuum.de/security/netscape/ns476gifcomment-demo.php4
Weitere Information zu diesem Thema
Weitere Artikel zu diesem Thema:
- [Linux/SuSE,Red Hat] Patches für Netscape 4.x verfügbar (2000-11-28)
Nach SuSE stellt nun auch RedHat Patches für die Netscape Browser 4.x bereit, die zwei Sicherheitslücken beheben.
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.
Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
https://cert.uni-stuttgart.de/ticker/article.php?mid=321