Vorwurf: Netscape drückt sich vor Bug-Prämie

Die Entdecker eines Sicherheitsproblems im Netscape-Browser glauben zu wissen, warum der Hersteller nicht auf Mails mit Hinweisen zur Lücke reagiert. Netscape habe 1000 US-Dollar Belohnung für jeden ausgelobt, der einen Bug im Browser findet. Das Geld wolle sich Netscape wohl sparen, vermuten die Entdecker.

Greymagic hat wie berichtet ein Sicherheitsproblem des Netscape und Mozilla-Browsers im Umgang mit XML festgestellt. In den Bugtraq-Foren von Securityfocus stellt das israelische Greymagic-Team nicht nur die Lücke vor, sondern prangert auch das vermeintliche Fehlverhalten von Netscape an. Vor einiger Zeit habe Netscape das so genannte "Bug Bounty Program" gestartet. Darin werden jedem Bug-Jäger, der ein Sicherheitsproblem im Netscape-Browser entdeckt, 1000 US-Dollar als Belohnung versprochen.

Die Bewertung, ob eine Lücke tatsächlich relevant ist, obliegt den Netscape-Entwicklern. Laut Netscape gilt der Bug dann als ernst zu nehmend, wenn ein Angreifer Code auf einem Client-Rechner ausführen oder Dateien ausspionieren kann. Weitere Voraussetzung: Die Entdecker der Lücke müssen mit Netscape zusammenarbeiten.

Die Voraussetzungen glaubt Greymagic erfüllt, da sich über die fehlerhafte XML-Verarbeitung lokal gespeicherte Dateien auslesen lassen. Nach Darstellungen von Greymagic wurde Netscape am 24. April über das im Bug Bounty Programm angebotene Formular informiert. Mails habe man zusätzlich an Security-Adressen bei Netscape geschickt. Eine Antwort sei nicht erfolgt.

Greymagic zieht daraus Konsequenzen: Man werde Netscape künftig über entdeckte Lücken nicht mehr vorab informieren, sondern sie sofort veröffentlichen. (uba)