Kritische Sicherheitslücke im Netscape-Browser

[marco312]

Secunia meldet kritische Sicherheitslücke in Netscape

Schwachstelle ermöglicht Ausführung von schädlichem Code durch manipulierte GIF-Bilder

Die Sicherheitsspezialisten von Secunia melden eine kritische Sicherheitslücke in den Browsern Netscape 6.2.3 und 7.2. Auch andere Versionen könnten betroffen sein. Ein Patch steht bislang nicht zur Verfügung.
Bei der Ausführung von Netscape-2-Extensions können laut Secunia speziell manipulierte GIF-Bilder dazu genutzt werden, einen Speicherüberlauf zu erzeugen und schädlichen Code auf einem verwundbaren System laufen zu lassen. Bereits die Ansicht einer Website mit einem entsprechend manipulierten GIF-Bild reicht für eine mögliche Infektion aus. Außerdem könne der Browser dadurch zum Absturz gebracht werden.

Dieselbe Lücke war auch schon im Firefox-Browser aufgetaucht, wurde aber mit Version 1.0.2 geschlossen. Da für die Netscape-Browser bislang keine Patches zur Verfügung stehen, rät Secunia den Anwendern der betroffenen Versionen, bis dahin eine andere Software einzusetzen.

>>Quelle<<

 

[jokkel]

Wer benutzt schon Netscape? Gibt es den überhaupt für OS X?

 

[MacEnroe]

Infektion mit was für Code??? Betrifft uns Äpfel doch sowieso nicht. Oder?

 

[marco312]

Wer benutzt schon Netscape? Gibt es den überhaupt für OS X?

Ja gibt es ist auch gar nicht so schlecht
>>Netscape-Browser<<

 

[marco312]

Weitere Sicherheitslücke für Netscape bestätigt

Anwender von Netscape sollten erwägen, aus Sicherheitsgründen einen anderen Web-Browser zu benutzen. Nachdem schon vergangene Woche die bereits in Firefox und Mozilla beseitigten GIF-Schwachstellen für Netscape bestätigt wurden, scheint auch die DOM-Sicherheitslücke (Document Object Model) in Netscape enthalten zu sein. Damit ist es ebenfalls möglich, Schadcode in ein System einzuschleusen und auszuführen. Weder für die GIF- noch für die DOM-Lücke in Netscape sind derzeit Patches verfügbar.


Anders als bei den GIF-Lücken dauerte die Verifizierung des Problems deshalb so lange, weil die Datenbankeinträge zu den Fehlern erst nach dem 25. April der Öffentlichkeit zugänglich gemacht wurden. Insgesamt drei Threads behandeln das Problem und wie es zu lösen ist. Als Workaround empfiehlt das Original-Advisory der Entwickler zwar JavaScript zu deaktivieren, ob das aber immer hilft, ist fraglich. So weist der Entdecker der Lücken in der Diskussion um einen der Fehler darauf hin, dass sich dieser trotzdem ausnutzen lässt, sofern eine Web-Seite XBL (Extensible Binding Language) benutzt.

Wie viele der ursprünglich in Firefox und Mozilla gefundenen Lücken nun in Netscape enthalten sind, müssen weitere Tests zeigen. Mozilla, Firefox und Netscape gingen aus dem gleichen ursprünglichen Quellcode hervor und nutzen mittlerweile die in großen Teilen neu geschriebene gemeinsame Code-Basis der Mozilla-Foundation. Auch der Fehler in der JavaScript-Funktion replace() unter Firefox und Mozilla war wohl schon seit 1997 im Netscape-Code zu finden

>>Quelle<<