Security: Sicherheitslücken im Netscape Communicator

Auch Netscapes Browser bleibt von Bugs nicht verschont. Schlecht für den Anwender, denn von Netscape gibt es kaum noch Hilfe oder Fixes. Wir nennen Ihnen die aktuellen Gefahrenquellen ab Version 4.5.

Die letzte große Neuauflage des Netscape Communicators erschien mit der Version 4.5. Zwar gelang es Netscape, hier zahlreiche Bugs aus den Vorversionen zu beseitigen, allerdings traten gleichzeitig neu Sicherheitslücken auf. Von diesen sind einige in der verbesserten Version 4.51 gestopft. Auch die weiteren Versionen 4.6 und 4.7 zeichnen sich hauptsächlich durch Bugfixes aus.

Mit dem Mozilla-Projekt entsteht der Communicator derzeit völlig neu. Netscape beschränkt sich daher bei der Pflege der aktuellen Versionen auf das Notwendigste. Für den sicherheitsbewussten Benutzer bleibt deshalb nur, sich in den entsprechenden Newsforen zu informieren. Empfehlenswert sind das Netscape Communicator Forum sowie das spezielle Sicherheitsforum.

Die meisten Sicherheitslücken entstehen durch die lokale Ausführung von JavaScript-Funktionen, die dabei erweiterte Zugriffsrechte erhalten. Tatsächlich wird der Code für die lokale Ausführung jedoch trickreich durch externe HTML-Seiten in lokale Bereiche wie zum Beispiel den Browsercache "injiziert".

Sicherheitslücken, die Netscape-Communicator-Versionen vor 4.5 betreffen, wurden entweder mit der Version 4.51 beseitigt, oder sind Varianten der hier ausführlich vorgestellten Fehlfunktionen. Sie unterscheiden sich im Wesentlichen nur durch programmtechnische Details, die Wirkungsweise ist meist gleich zu den hier aufgezeigten Bugs.

Bei der Jagd auf Netscape Bugs hat sich der Bulgare Gregori Guninski besonders profiliert. Seine Erfolgsquote beim Endecken von Sicherheitslöchern im Netscape Communicator liegt ähnlich hoch, wie bei der Suche nach Bugs im Internet Explorer.

Auf den folgenden Seiten finden Sie in chronologisch absteigender Reihenfolge Beschreibungen der bekannten Bugs und die zugehörigen Gegenmaßnahmen.

Achtung: Bevor Sie Links zu Bug-Demonstrationen folgen, machen Sie sich bitte mit der Wirkungsweise und den zu erwartenden Resultaten vertraut. Einige Bugs können unter Umständen zum Absturz des Communicators führen. mha)