[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[Advisory] Schwachstellen in Netscape Java Implementierung (BrownOffice)



Hallo,

CERT meldet zwei Schwachstellen in der Java Implementierung von
Netscape Navigator und Communicator:

> 1) netscape.net.URLConnection()
>   Durch diese Schwachstelle ist es einem Applet moeglich, ueber
>   "file:/" URLs auf beliebige Dateien auf dem System zuzugreifen
>   (sofern die Zugriffsrechte innerhalb des Betriebssystems fuer den
>   ausfuehrenden Benutzer dies zulassen).
> 
> 2) java.net.ServerSocket()
>   Durch diese Schwachstelle ist es einem Applet moeglich, einen
>   ServerSocket (d.h. einen halboffenen TCP-Socket zur Anahme von
>   Verbindungen von aussen) unter einer beliebigen Portnummer auf dem
>   betroffenen System zu oeffnen. Auf diese Weise kann die Restriktion
>   umgangen werden, das Java-Applets nur dem dem Rechner von dem das
>   Applet geladen wurde, Verbindung aufnehmen koennen.

Beide Schwachstellen existieren in _allen_ zur Zeit verf"ugbaren
Netscape Versionen und werden auch bereits benutzt, ein Patch
existiert nicht, deshalb:

> koennen wir nur unseren allgemeinen Hinweis wiederholen, Java und
> andere aktive Inhalte in Browsern, Mail-User-Agents und anderen
> HTML-faehigen Tools grundsaetzlich zu deaktivieren.

Dies geht "uber:

Edit -> Preferences -> Advanced 

Sven
-- 
 _  __                     The Cognitive Systems Group
| |/ /___  __ _ ___                                       University of Hamburg
| ' </ _ \/ _` (_-<  phone:    +49 (0)40 42883-2576      Vogt-Koelln-Strasse 30
|_|\_\___/\__, /__/  fax  :    +49 (0)40 42883-2572             D-22527 Hamburg
          |___/ http://kogs-www.informatik.uni-hamburg.de/~utcke/home.html