Abo
  • Services:
Anzeige

Unberechtigte Programmausführung durch Java-Sicherheitslücke

Zahlreiche Systeme von dem Sicherheitsloch in Java betroffen

Wie Sun in einem aktuellen Security Bulletin mitteilt, wurde jüngst eine Sicherheitslücke in dem Java Runtime Environment (JRE) gefunden, die es Angreifern erlaubt, gefährlichen Programmcode auf einem befallenen System auszuführen. Sowohl Sun als auch Microsoft bieten bereits passende Patches an; nur Netscape lässt hier noch auf sich warten.

Nach den Informationen von Sun besitzt der "Bytecode Verifier" des Java Runtime Environment (JRE) ein Sicherheitsloch, worüber ein "untrusted Java-Applet" nicht autorisierte Privilegienerweiterung erlangen und so beliebigen Programmcode mit den Rechten des JRE-Prozesses ausführen kann. Das Sicherheitsloch erlaubt es Angreifern, gezielt Sicherheitsbeschränkungen der Sandbox zu umgehen. Es genügt also der Besuch einer Webseite mit einem entsprechenden Applet, um Opfer eines solchen Angriffs zu werden.

Anzeige

Unter einem "untrusted Applet" versteht man ein Java-Applet, das weder durch eine Signatur noch durch eine Bestätigung des Benutzers den Status eines "trusted Applet" besitzt und daher nicht autorisiert ist, auf geschützte Ressourcen des beherbergenden Systems zuzugreifen.

Das Java-Sicherheitsloch steckt in allen derzeit verfügbaren Versionen des Nescape-Browsers sowie allen Fassungen des Internet Explorer der Versionen 4.x, 5.x und 6.x, sofern noch nicht die JavaVM in der Build-Version 3805 verwendet wird. Zudem sind zahlreiche Versionen des Java-SDK davon betroffen; nur das Java-2-SDK in der Standard-Version 1.4 kennt das Sicherheitsleck nicht.

Als Gegenmaßnahme kann man die Ausführung von Java-Applets im Browser deaktivieren, wodurch aber auch vertrauenswürdige Applets blockiert werden. Netscape will in den nächsten Tagen passende Bugfixes bereitstellen, die dieses Sicherheitsloch stopfen sollen. Microsoft bietet bereits eine aktualisierte JavaVM mit der Build-Nummer 3805 an, die das Problem bereinigt. Auch Sun stellt bereits modifizierte Java-Versionen ohne dieses Sicherheitsloch bereit, die für zahlreiche Plattformen erhältlich sind.


eye home zur Startseite
Cassiel 22. Mär 2002

Siehste, das meinte ich ...

Cassiel 22. Mär 2002

Siehste, das meinte ich ...

Titan 20. Mär 2002

Der Bugfix von Microsoft ist auch schon seit Wochen zu haben und keine News mehr.

Cassiel 20. Mär 2002

Otto-normal-Verbraucher zu verunsichern ist im Moment halt total "in" ...

JoeDante 20. Mär 2002

Un warum schreibt Ihr nicht, daß die folgenden, schon seit zT. Monaten verfügbaren...



Anzeige

Stellenmarkt
  1. Bosch Rexroth AG, Stuttgart-Bad Cannstatt
  2. MBtech Group GmbH & Co. KGaA, Lindau
  3. über Duerenhoff GmbH, Hamburg
  4. Veolia - ÖKOTEC Energie­manage­ment GmbH, Berlin


Anzeige
Spiele-Angebote
  1. (u. a. Bundle mit F1 2015 und Grid für 7.69$)
  2. + Prämie (u. a. Far Cry 5, Elex, Assassins Creed Origins) für 62€
  3. (-78%) 4,44€

Folgen Sie uns
       

  1. Star Wars - Die letzten Jedi

    Viel Luke und zu viel Unfug

  2. 3D NAND

    Samsung investiert doppelt so viel in die Halbleitersparte

  3. IT-Sicherheit

    Neue Onlinehilfe für Anfänger

  4. Death Stranding

    Kojima erklärt Nahtodelemente und Zeitregen

  5. ROBOT-Angriff

    19 Jahre alter Angriff auf TLS funktioniert immer noch

  6. Bielefeld

    Stadtwerke beginnen flächendeckendes FTTB-Angebot

  7. Airspeeder

    Alauda plant Hoverbike-Rennen

  8. DisplayHDR 1.0

    Vesa definiert HDR-Standard für Displays

  9. Radeon-Software-Adrenalin-Edition

    Grafikkartenzugriff mit Smartphone-App

  10. Datentransfer in USA

    EU-Datenschützer fordern Nachbesserungen beim Privacy Shield



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
E-Golf auf Tour: Reichweitenangst oder: Wie wir lernten, Lidl zu lieben
E-Golf auf Tour
Reichweitenangst oder: Wie wir lernten, Lidl zu lieben
  1. Uniti One Schwedisches Unternehmen Uniti stellt erstes Elektroauto vor
  2. LEVC London bekommt Elektrotaxis mit Range Extender
  3. Vehicle-to-Grid Honda macht Elektroautos zu Stromnetz-Puffern

Alexa-Geräte und ihre Konkurrenz im Test: Der perfekte smarte Lautsprecher ist nicht dabei
Alexa-Geräte und ihre Konkurrenz im Test
Der perfekte smarte Lautsprecher ist nicht dabei
  1. Alexa und Co. Wirtschaftsverband sieht Megatrend zu smarten Lautsprechern
  2. Smarte Lautsprecher Google unterstützt indirekt Bau von Alexa-Geräten
  3. UE Blast und Megablast Alexa-Lautsprecher sind wasserfest und haben einen Akku

4K UHD HDR: Das ZDF hat das Internet nicht verstanden
4K UHD HDR
Das ZDF hat das Internet nicht verstanden
  1. Cisco und Lancom Wenn Spionagepanik auf Industriepolitik trifft
  2. Encrypted Media Extensions Web-DRM ist ein Standard für Nutzer

  1. Re: Golem Was soll das? Überschrift geht ja garnicht

    DebugErr | 02:35

  2. Re: Rechtschreibung Überschrift

    cicero | 01:05

  3. Der Bedarf steigt

    cicero | 01:04

  4. Re: Für was der Bedarf an Wildcard-Zertifikaten?

    Tragen | 00:52

  5. Re: Das wird total abgefahren....

    sofries | 00:52


  1. 18:40

  2. 17:11

  3. 16:58

  4. 16:37

  5. 16:15

  6. 16:12

  7. 16:01

  8. 15:54


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel