computerwoche.de

Web

Unendliche Geschichte: Sicherheitslücken in Browsern

31.03.1999
Internet Explorer 5, Communicator 4.51

MÜNCHEN (COMPUTERWOCHE) - Kaum eine Woche vergeht, in denen nicht ein neues Sicherheitsleck in einem prominenten Web-Browser entdeckt wird. Diesmal hat es die Rivalen Microsoft und Netscape zeitgleich erwischt.

Der neue "Internet Explorer 5" hat gleich mit mehreren Problemen zu kämpfen. Daß sich über den Browser der Inhalt der Windows-Zwischenablage auslesen läßt, ist bereits seit früheren Produktversionen als "Cuartango"-Bug (CW Infonet berichtete) bekannt. Ein neues Problem, das der bulgarische Experte Georgi Guninski ausfindig gemacht hat, erlaubt es einem böswilligen Angreifer, Dateien auf der Festplatte eines Surfers zu löschen, wenn er deren Namen kennt. Möglich wird dies durch einen Fehler in der DHTML-Implementierung (Dynamic Hypertext Markup Language) in Kombination mit der von Netscape entwickelten Skriptsprache "Javascript." Microsoft arbeitet bereits an Korrekturen für beide Fehler.

Auch der mittlerweile in den Besitz von AOL gelangte "Communicator 4.51" von Netscape ist von einem neuartigen Problem betroffen. Schuld an dem Bug, der ebenfalls von Guninski entdeckt wurde, ist die mit der Version 4.06 erstmals eingeführte Javascript-Konsole. Diese arbeitet fensterübergreifend. Ein böswilliger Angreifer kann sie etwa dazu nutzen, um von einer Seite aus die Internet-Adressen (Uniform Resource Locators = URLs) sämtlicher anderer geöffneter Browser-Fenster auszulesen. Netscape will dieses Problem in der nächsten Version des Communicator beheben und empfiehlt vorsichtigen Benutzern, bis dahin Javascript vorübergehend zu deaktivieren.

Angesichts solcher Nachrichten mag sich so mancher fragen: Haben manche Leute nichts besseres zu tun, als den ganzen Tag nach Sicherheitslücken in Browsern zu suchen? Die Anbieter sind daran jedenfalls nicht ganz unbeteiligt: AOL zahlt an den bulgarischen Bug-Jäger 1000 Dollar für die Entdeckung des Problems - und das nicht zum ersten Mal. Gusinski hat auf seiner Site bereits zum siebten Mal einen Netscape-Fehler nachgewiesen. Ein nettes Zubrot für den Experten, der im übrigen auf der Suche nach einem Job ist...