79630

Lücke in Java-Plug-in macht Browser unsicher

23.11.2004 | 13:59 Uhr |

In den Java-Plug-ins von Suns Java 2 Runtime Environment Standard Edition (JRE) ist eine Sicherheitslücke entdeckt worden. Die Schwachstelle trifft alle java-fähigen Browser. Sun bietet bereits eine aktualisierte Version seiner JRE an.

Ein Lücke in den Java-Plug-ins von Suns Java 2 Runtime Environment Standard Edition (JRE) erlaubt es Angreifern, beliebigen Code auf betroffenen Rechnern auszuführen. Dies berichtet unsere Schwesterpublikation Tecchannel .

Betroffen von dem Problem sind die java-fähigen Browser Internet Explorer, Mozilla und Firefox. Angreifer können laut Idefense, den Entdeckern der Lücke, über Java-Applets die Sicherheitseinstellungen der Java-Sandbox umgehen. Auch die Sicherheitseinstellungen für Applets sind außer Kraft gesetzt.

Möglich wird dies durch eine Schwachstelle in den Beschränkungen für die Datenverbindung zwischen Java und Javascript bei Webbrowsern. Es wird durch die Lücke möglich, über Javascripts eine Java-Klasse zu laden, die im Sinne des Erfinders nur für die Virtual Machine zugänglich sein dürfte. Java-Applets sollten auf diese Sorte von Klassen keinen Zugriff haben, es sei denn, der Benutzer erlaubt es.

Wird die Lücke erfolgreich genutzt, was einen Java-fähigen Browser auf einem verwundbaren System - egal ob Windows oder Linux - voraussetzt, und das Ausführen eines präparierten Applets, sind nahezu beliebige Aktionen im Kontext des Benutzers möglich.

Sun bietet bereits eine aktualisierte Version an, die das Problem behebt. Die Lücke wird durch die J2SE v 1.4.2_06 geschlossen, berichtet Idefense im zugehörigen Bulletin . Als Workaround ist auch das Abschalten von Javascript und Java möglich.

0 Kommentare zu diesem Artikel
79630