[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[Advisory] Schwachstellen in Netscape Java Implementierung (BrownOffice)
- To: kogs-alle
- Subject: [Advisory] Schwachstellen in Netscape Java Implementierung (BrownOffice)
- Date: Fri, 11 Aug 2000 11:22:20 +0200 (MET DST)
Hallo,
CERT meldet zwei Schwachstellen in der Java Implementierung von
Netscape Navigator und Communicator:
> 1) netscape.net.URLConnection()
> Durch diese Schwachstelle ist es einem Applet moeglich, ueber
> "file:/" URLs auf beliebige Dateien auf dem System zuzugreifen
> (sofern die Zugriffsrechte innerhalb des Betriebssystems fuer den
> ausfuehrenden Benutzer dies zulassen).
>
> 2) java.net.ServerSocket()
> Durch diese Schwachstelle ist es einem Applet moeglich, einen
> ServerSocket (d.h. einen halboffenen TCP-Socket zur Anahme von
> Verbindungen von aussen) unter einer beliebigen Portnummer auf dem
> betroffenen System zu oeffnen. Auf diese Weise kann die Restriktion
> umgangen werden, das Java-Applets nur dem dem Rechner von dem das
> Applet geladen wurde, Verbindung aufnehmen koennen.
Beide Schwachstellen existieren in _allen_ zur Zeit verf"ugbaren
Netscape Versionen und werden auch bereits benutzt, ein Patch
existiert nicht, deshalb:
> koennen wir nur unseren allgemeinen Hinweis wiederholen, Java und
> andere aktive Inhalte in Browsern, Mail-User-Agents und anderen
> HTML-faehigen Tools grundsaetzlich zu deaktivieren.
Dies geht "uber:
Edit -> Preferences -> Advanced
Sven
--
_ __ The Cognitive Systems Group
| |/ /___ __ _ ___ University of Hamburg
| ' </ _ \/ _` (_-< phone: +49 (0)40 42883-2576 Vogt-Koelln-Strasse 30
|_|\_\___/\__, /__/ fax : +49 (0)40 42883-2572 D-22527 Hamburg
|___/ http://kogs-www.informatik.uni-hamburg.de/~utcke/home.html