XML-Lücke in Netscape und Mozilla

Eine Sicherheitslücke, die bereits im Internet Explorer geflickt werden musste, tritt auch in den Browsern Netscape und Mozilla auf. Das will die israelische Firma Greymagic herausgefunden haben.

In einem entsprechenden Security Advisory mit dem Titel "Reading local files in Netscape 6 and Mozilla" ist das Fehlverhalten beschrieben. Demnach existiert eine Lücke, die es Dritten ermöglicht, über Websites auf lokale Daten von Anwendern zuzugreifen. Angreifer machen sich dazu die so genannte "XMLHttpRequest object" zu Nutze und tricksen den Browser mit Hilfe einer Weiterleitung aus. Betroffen von dem Sicherheitsloch sind Mozilla ab Version 0.9.7 sowie Netscape 6.1 und aufwärts.

Netscape wurde nach Angaben von Greymagic bereits am 24. April unterrichtet. Das Unternehmen soll bislang allerdings nicht reagiert haben, so die PC Welt. Greymagic bietet im Advisory eine Demonstration an, wie sich die Lücke nutzen lässt.

Ein vergleichbarer Fehler im XML-Core-Service steckte auch im Internet Explorer, wir berichteten. Microsoft hat diese Lücke inzwischen geschlossen. Das entsprechende Security Bulletin und Links zu den Patches für den IE finden Sie hier. (uba)