Netscape ab Version 6.1 und Mozilla ab Version 0.9.7 haben einen Bug im JavaScript-Objekt "XMLHttpRequest".
Arglistige Web-Seiten können dadurch lokale Dateien öffnen und z.B. an einen Internet-Server übertragen.
Abhilfe schafft das Deaktivieren von JavaScript oder für Mozilla das Einspielen des Patches http://bugzilla.mozilla.org/attachment.cgi?id=81725&action=view.
Für Netscape gibt es noch keinen Patch.

Die "Microsoft XML Core Services 2.6" (bei Windows XP, IE 6 und MS SQL Server 2000 dabei) sind ebenfalls anfällig, einen Patch gibt es unter http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-008.asp.

Quelle: http://CERT.Uni-Stuttgart.DE/ticker/article.phpmid=804

Geringes Sicherheitsloch in Treibern für Logitech-Tastaturen


Programmstart trotz lokaler Zugriffsbeschränkungen möglich


Wie ein Beitrag auf der Mailingliste Bugtraq berichtet, weisen einige Treiber für Logitech-Tastaturen der iTouch-Reihe Sicherheitsmängel auf. So können damit lokale Zugriffsbeschränkungen von Windows NT, 2000 oder XP umgangen werden, indem etwa Programme gestartet werden.

Die iTouch-Tastaturen von Logitech besitzen so genannte Schnellstarttasten, um mit einem Tastendruck Programme zu starten, eine URL zu öffnen oder den Rechner herunterzufahren. Normalerweise sollten diese Tasten gesperrt sein, wenn ein Rechner etwa durch einen passwortgeschützten Bildschirmschoner blockiert ist. Den iTouch-Treibern von Logitech fehlt die entsprechende Funktion, so dass die Tasten weiterhin frei zugänglich bleiben. Unbefugten können so entsprechende Programme etwa Hunderte Male starten, um eine System-Überlastung zu erzielen.

Das Sicherheitsrisiko wird als gering eingeschätzt, zeigt aber, dass man in allen Bereichen mit potenziellen Sicherheitslecks rechnen muss und wie leicht solche Lücken unentdeckt bleiben. Logitech wurde von dem Problem vor rund einem Monat informiert und bestätigte das Problem, ohne dies bislang bereinigt zu haben.


Quelle: golem.de

Matze