Netscape drückt sich vor Bug-Prämie
Die Entdecker eines Sicherheitsproblems im Netscape-Browser glauben zu wissen, warum der Hersteller nicht auf Mails mit Hinweisen zur Lücke reagiert: Netscape hat 1.000 USD Belohnung für jeden ausgelobt, der einen Bug im Browser findet. Das Geld wolle sich Netscape wohl sparen, vermuten die Entdecker.
Greymagic hat ein Sicherheitsproblem des Netscape- und Mozilla-Browsers im Umgang mit XML festgestellt. In den Bugtraq-Foren von Securityfocus stellt das israelische Greymagic-Team nicht nur die Lücke vor, sondern prangert auch das vermeintliche Fehlverhalten von Netscape an.
Vor einiger Zeit hat Netscape das so genannte "Bug Bounty Program" gestartet. Darin werden jedem Bug-Jäger, der ein Sicherheitsproblem im Netscape-Browser entdeckt, 1.000 US-Dollar als Belohnung versprochen.
"Bug Bounty Program"Sofort veröffentlichen
Die Bewertung, ob eine Lücke tatsächlich relevant ist, obliegt den Netscape-Entwicklern. Laut Netscape gilt der Bug dann als ernst zu nehmend, wenn ein Angreifer Code auf einem Client-Rechner ausführen oder Dateien ausspionieren kann. Weitere Voraussetzung ist, dass, die Entdecker der Lücke mit Netscape zusammenarbeiten müssen.
Die Voraussetzungen glaubt Greymagic erfüllt, da sich über die fehlerhafte XML-Verarbeitung lokal gespeicherte Dateien auslesen lassen. Nach Darstellungen von Greymagic wurde Netscape am 24. April über das im Bug-Bounty-Programm angebotene Formular informiert. Mails habe man zusätzlich an Security-Adressen bei Netscape geschickt. Eine Antwort sei nicht erfolgt.
Greymagic zieht daraus Konsequenzen: Man werde Netscape künftig über entdeckte Lücken nicht mehr vorab informieren, sondern sie sofort veröffentlichen.
XML-Lücke in Netscape und Mozilla