Erster Patch für neuen Netscape
Betroffen ist die Funktion zum Updaten des Browsers und zum Installieren von Add-ons. Kombiniert der Angreifer eine Lücke im JavaScript "Iframe" und eine im Parameter "IconURL" in "InstallTrigger.install()", kann er beliebigen Code auf dem System installieren und ausführen. Der Angreifer muss einen Benutzer lediglich dazu bringen, dass er einer speziell präparierten Seite erlaubt, Software zu installieren.
Mit dem Bugfix erhielten die JavaScript-Funktion zusätzliche Überprüfungsroutinen. Diese sollen sicherstellen, dass Java-Code nur in dem Kontext ausgeführt wird, in dem er erstellt wurde. Böswillige Systemnutzer war es so möglich, die eignen Rechte auszuweiten.
Der frisch gepatchte Browser steht auf der Homepage von Netscape zum Download bereit, alternativ können Sie die Auto-Update-Funktion nutzen.
Über aktuelle Sicherheitslücken informieren Sie die Security-Reports von tecCHANNEL in Kooperation mit Secunia. Sie können diesen Dienst auch als kostenlosen Newsletter oder als tägliche Übersicht abonnieren. Premium-Kunden haben zudem die Möglichkeit, sich bei hoch kritischen Lücken per Security Alert informieren zu lassen. (mja)
tecCHANNEL Buch-Shop |
|
---|---|
Literatur zum Thema IT-Sicherheit |
Titelauswahl |
Titel von Pearson Education |
|
PDF-Titel (50% billiger als Buch) |