28646

Vorwurf: Netscape drückt sich vor Bug-Prämie

02.05.2002 | 16:50 Uhr |

Die Entdecker eines Sicherheitsproblems im Netscape-Browser glauben zu wissen, warum der Hersteller nicht auf Mails mit Hinweisen zur Lücke reagiert. Netscape habe 1000 US-Dollar Belohnung für jeden ausgelobt, der einen Bug im Browser findet. Das Geld wolle sich Netscape wohl sparen, vermuten die Entdecker.

Die Entdecker eines Sicherheitsproblems im Netscape-Browser glauben zu wissen, warum der Hersteller nicht auf Mails mit Hinweisen zur Lücke reagiert. Netscape habe 1000 US-Dollar Belohnung für jeden ausgelobt, der einen Bug im Browser findet. Das Geld wolle sich Netscape wohl sparen, vermuten die Entdecker. Dies berichtet unsere Schwesterpublikation Tecchannel .

Greymagic hat ein Sicherheitsproblem des Netscape und Mozilla-Browsers im Umgang mit XML festgestellt ( wir berichteten ). In den Bugtraq-Foren von Securityfocus stellt das israelische Greymagic-Team nicht nur die Lücke vor, sondern prangert auch das vermeintliche Fehlverhalten von Netscape an. Vor einiger Zeit habe Netscape das so genannte Bug-Bounty-Programm gestartet. Darin werden jedem Bug-Jäger, der ein Sicherheitsproblem im Netscape-Browser entdeckt, 1000 US-Dollar als Belohnung versprochen.

Die Bewertung, ob eine Lücke tatsächlich relevant ist, obliegt den Netscape-Entwicklern. Laut Netscape gilt der Bug dann als ernst zu nehmend, wenn ein Angreifer Code auf einem Client-Rechner ausführen oder Dateien ausspionieren kann. Weitere Voraussetzung: Die Entdecker der Lücke müssen mit Netscape zusammenarbeiten.

Die Voraussetzungen glaubt Greymagic erfüllt, da sich über die fehlerhafte XML-Verarbeitung lokal gespeicherte Dateien auslesen lassen. Nach Darstellungen von Greymagic wurde Netscape am 24. April über das im Bug-Bounty-Programm angebotene Formular informiert. Mails habe man zusätzlich an Security-Adressen bei Netscape geschickt. Eine Antwort sei nicht erfolgt.

Greymagic zieht daraus Konsequenzen: Man werde Netscape künftig über entdeckte Lücken nicht mehr vorab informieren, sondern sie sofort veröffentlichen.

Telefoniert Netscape nach Hause? (PC-WELT Online, 08.03.2002)

Cookie-Diebstahl droht (PC-WELT Online, 29.01.2002)

0 Kommentare zu diesem Artikel
28646