Netscape 8.0.1 schließt Sicherheitslücke
Einen Tag nach der Veröffentlichung von Netscape 8.0 hat der Hersteller aufgrund der Anfälligkeit des Produkts für die Firelinking-Sicherheitslücke ein Update herausgebracht. Man sei sich nicht bewusst gewesen, dass Netscape 8.0 bei seiner Veröffentlichung für diese Lücke anfällig war, so das Unternehmen.
In Netscape 8.0.1 ist die Firelinking-Sicherheitslücke geschlossen, in unseren Tests funktioniert jedoch das Ausnutzen einer in Mozilla-Browsern Anfang des Jahres geschlossene Sicherheitslücke, für die es eine Demonstration bei Secunia gibt, weiterhin. In Firefox 1.0.4 zum Beispiel ist diese Lücke hingegen nicht vorhanden.
Derzeit werden Netscape-Anwender noch nicht automatisch auf das zur Verfügung stehende Update hingewiesen; man muss es sich manuell herunterladen. Verwirrend ist bei der Installation der Hinweis, dass angeblich eine neuere oder die gleiche Version bereits installiert sei, obwohl man ein Update von Netscape 8.0 auf Version 8.0.1 durchführt, was ein Blick in den „About“-Dialog nach erfolgter Installation dann auch bestätigt.
Update 25.05.2005: Die von uns bemängelte Window Injection Vulnerability erweckt lediglich den Anschein, dass sie sich ausnutzen lässt, es ist in dem Beispiel der Website von Secunia jedoch nicht möglich, Code in das Beispiel-Popup zu injizieren!