Vorwurf: Netscape drückt sich vor Bug-Prämie
Greymagic hat wie berichtet ein Sicherheitsproblem des Netscape und Mozilla-Browsers im Umgang mit XML festgestellt. In den Bugtraq-Foren von Securityfocus stellt das israelische Greymagic-Team nicht nur die Lücke vor, sondern prangert auch das vermeintliche Fehlverhalten von Netscape an. Vor einiger Zeit habe Netscape das so genannte "Bug Bounty Program" gestartet. Darin werden jedem Bug-Jäger, der ein Sicherheitsproblem im Netscape-Browser entdeckt, 1000 US-Dollar als Belohnung versprochen.
Die Bewertung, ob eine Lücke tatsächlich relevant ist, obliegt den Netscape-Entwicklern. Laut Netscape gilt der Bug dann als ernst zu nehmend, wenn ein Angreifer Code auf einem Client-Rechner ausführen oder Dateien ausspionieren kann. Weitere Voraussetzung: Die Entdecker der Lücke müssen mit Netscape zusammenarbeiten.
Die Voraussetzungen glaubt Greymagic erfüllt, da sich über die fehlerhafte XML-Verarbeitung lokal gespeicherte Dateien auslesen lassen. Nach Darstellungen von Greymagic wurde Netscape am 24. April über das im Bug Bounty Programm angebotene Formular informiert. Mails habe man zusätzlich an Security-Adressen bei Netscape geschickt. Eine Antwort sei nicht erfolgt.
Greymagic zieht daraus Konsequenzen: Man werde Netscape künftig über entdeckte Lücken nicht mehr vorab informieren, sondern sie sofort veröffentlichen. (uba)