Abo
  • Services:
Anzeige

Unberechtigte Programmausführung durch Java-Sicherheitslücke

Zahlreiche Systeme von dem Sicherheitsloch in Java betroffen

Wie Sun in einem aktuellen Security Bulletin mitteilt, wurde jüngst eine Sicherheitslücke in dem Java Runtime Environment (JRE) gefunden, die es Angreifern erlaubt, gefährlichen Programmcode auf einem befallenen System auszuführen. Sowohl Sun als auch Microsoft bieten bereits passende Patches an; nur Netscape lässt hier noch auf sich warten.

Nach den Informationen von Sun besitzt der "Bytecode Verifier" des Java Runtime Environment (JRE) ein Sicherheitsloch, worüber ein "untrusted Java-Applet" nicht autorisierte Privilegienerweiterung erlangen und so beliebigen Programmcode mit den Rechten des JRE-Prozesses ausführen kann. Das Sicherheitsloch erlaubt es Angreifern, gezielt Sicherheitsbeschränkungen der Sandbox zu umgehen. Es genügt also der Besuch einer Webseite mit einem entsprechenden Applet, um Opfer eines solchen Angriffs zu werden.

Anzeige

Unter einem "untrusted Applet" versteht man ein Java-Applet, das weder durch eine Signatur noch durch eine Bestätigung des Benutzers den Status eines "trusted Applet" besitzt und daher nicht autorisiert ist, auf geschützte Ressourcen des beherbergenden Systems zuzugreifen.

Das Java-Sicherheitsloch steckt in allen derzeit verfügbaren Versionen des Nescape-Browsers sowie allen Fassungen des Internet Explorer der Versionen 4.x, 5.x und 6.x, sofern noch nicht die JavaVM in der Build-Version 3805 verwendet wird. Zudem sind zahlreiche Versionen des Java-SDK davon betroffen; nur das Java-2-SDK in der Standard-Version 1.4 kennt das Sicherheitsleck nicht.

Als Gegenmaßnahme kann man die Ausführung von Java-Applets im Browser deaktivieren, wodurch aber auch vertrauenswürdige Applets blockiert werden. Netscape will in den nächsten Tagen passende Bugfixes bereitstellen, die dieses Sicherheitsloch stopfen sollen. Microsoft bietet bereits eine aktualisierte JavaVM mit der Build-Nummer 3805 an, die das Problem bereinigt. Auch Sun stellt bereits modifizierte Java-Versionen ohne dieses Sicherheitsloch bereit, die für zahlreiche Plattformen erhältlich sind.


eye home zur Startseite
Cassiel 22. Mär 2002

Siehste, das meinte ich ...

Cassiel 22. Mär 2002

Siehste, das meinte ich ...

Titan 20. Mär 2002

Der Bugfix von Microsoft ist auch schon seit Wochen zu haben und keine News mehr.

Cassiel 20. Mär 2002

Otto-normal-Verbraucher zu verunsichern ist im Moment halt total "in" ...

JoeDante 20. Mär 2002

Un warum schreibt Ihr nicht, daß die folgenden, schon seit zT. Monaten verfügbaren...



Anzeige

Stellenmarkt
  1. AOK - Die Gesundheitskasse für Niedersachsen, Hannover
  2. über Hays AG, Nordrhein-Westfalen
  3. Robert Bosch GmbH, Leonberg
  4. IT2media GmbH & Co.KG, Nürnberg


Anzeige
Spiele-Angebote
  1. 16,99€
  2. 79,98€ + 5€ Rabatt (Vorbesteller-Preisgarantie)
  3. 199€

Folgen Sie uns
       

  1. U-Bahn

    Telefónica baut BTS-Hotels im Berliner Untergrund

  2. Kabelnetz

    Statt auf Docsis 3.1 lieber gleich auf Glasfaser setzen

  3. Virtuelle Güter

    Activision patentiert Förderung von Mikrotransaktionen

  4. Nervana Neural Network Processor

    Intels KI-Chip erscheint Ende 2017

  5. RSA-Sicherheitslücke

    Infineon erzeugt Millionen unsicherer Krypto-Schlüssel

  6. The Evil Within 2 im Test

    Überleben in der Horror-Matrix

  7. S410

    Getacs modulares Outdoor-Notebook bekommt neue CPUs

  8. Smartphone

    Qualcomm zeigt 5G-Referenz-Gerät

  9. Garmin Speak

    Neuer Alexa-Lautsprecher fürs Auto zeigt den Weg an

  10. Datenrate

    Kunden wollen schnelle Internetzugänge



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Elektromobilität: Niederlande beschließen Aus für Verbrennungsautos
Elektromobilität
Niederlande beschließen Aus für Verbrennungsautos
  1. World Solar Challenge Regen in Australien verdirbt Solarrennern den Spaß
  2. Ab 2030 EU-Komission will Elektroauto-Quote
  3. Mit ZF und Nvidia Deutsche Post entwickelt autonome Streetscooter

Verschlüsselung: Niemand hat die Absicht, TLS zu knacken
Verschlüsselung
Niemand hat die Absicht, TLS zu knacken
  1. TLS-Zertifikate Zertifizierungsstellen müssen CAA-Records prüfen
  2. Apache-Lizenz 2.0 OpenSSL-Lizenzwechsel führt zu Code-Entfernungen
  3. Certificate Transparency Webanwendungen hacken, bevor sie installiert sind

Zotac Zbox PI225 im Test: Der Kreditkarten-Rechner
Zotac Zbox PI225 im Test
Der Kreditkarten-Rechner

  1. Re: Kleinreden ist Verteidigung der Hersteller

    chefin | 07:26

  2. Re: Nur die Telefónica bietet in der U-Bahn LTE

    Plasma | 07:25

  3. Re: Drahtloses laden und wasserdicht sind...

    elknipso | 07:21

  4. Re: Halten wir fest

    chefin | 07:17

  5. Re: Warum bitte 600PS

    jo-1 | 07:08


  1. 19:09

  2. 17:40

  3. 17:02

  4. 16:35

  5. 15:53

  6. 15:00

  7. 14:31

  8. 14:16


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel