• IT-Karriere:
  • Services:

Microsoft stopft sieben Sicherheitslücken in Java-Engine

Einspielung des aktuellen Patches dringend empfohlen

Gleich sieben Sicherheitslücken behebt Microsoft in der Java Virtual Machine aus Redmond mit einem passenden Patch. Einige der Lecks geben einem Angreifer sogar die komplette Kontrolle über ein anderes System. Die Virtual Machine (VM) liefert Microsoft in zahlreichen Windows-Versionen und auch mit dem Internet Explorer aus. Der aktuelle Patch behebt auch gleich frühere Sicherheitslücken, weswegen Microsoft die Installation dringend empfiehlt.

Artikel veröffentlicht am ,

Allen Sicherheitslücken in der Virtual Machine ist gleich, dass Angreifer über eine entsprechend präparierte Webseite oder HTML-Mail die betreffenden Lecks in der Software nutzen können. So erlaubt ein Sicherheitsleck den Zugriff auf COM-Objects über nicht-zertifizierte Java-Applets, um das betreffende System zu kontrollieren. Außerdem ignoriert die Virtual Machine die Vorgabe, dass ein Applet nur auf Daten in dem Verzeichnis und den darunter liegenden Ordnern zugreifen darf. Stattdessen kann ein auf einer Webseite abgelegtes Java-Applet so auch auf die lokalen Dateien des Nutzers zugreifen.

Stellenmarkt
  1. Landeshauptstadt Stuttgart, Stuttgart
  2. ZIEHL-ABEGG SE, Künzelsau

Schließlich ermöglicht ein anderes Sicherheitsleck, ein Java-Applet von einer anderen Webseite auszuführen, was der Nutzer nicht erfährt. Somit erhalten Angreifer etwa Bankdaten, die der Nutzer meint, an seine Bank zu übermitteln, die aber nicht an die Bank gehen. Schließlich greift die Virtual Machine auf JDBC-APIs zu, was der VM gar nicht gestattet ist. Damit lassen sich dann Datenbank-Dateien nach Belieben hinzufügen, ändern oder auch löschen.

Ein anderes Sicherheitsloch erlaubt es einem Angreifer, ein bestimmtes Java-Object nicht zu laden und zu verhindern, dass dieses Objekt ausgeführt wird. Über eine weitere Sicherheitslücke erfährt ein Angreifer den Namen des Nutzers und kann diese Information missbrauchen. Schließlich kann ein Angreifer etwa den Internet Explorer gezielt über ein anderes Leck in der Virtual Machine zum Absturz bringen.

Den Patch für die Java Virtual Machine stellt Microsoft derzeit ausschließlich über die Windows-Update-Funktion zum Download bereit. Die Virtual Machine ist Bestandteil von Windows ab der Version 95 sowie dem Internet Explorer.

Alternativ zur Virtual Machine von Microsoft kann auch die Java Virtual Machine von Sun verwendet werden, die alle diese Sicherheitslecks nicht aufweist.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. 34,99€/49,99€ (mit/ohne Spezialangebote)
  2. (u. a. Acer KG241P 144-Hz-Monitor für 159€)
  3. (aktuell u. a. Mushkin Pilot-E 2 TB für 219,90€ + Versand)
  4. (u. a. GTA 5 - Premium Online Edition für 12,99€ und Devil May Cry 5 für 20,99€)

Hexer 27. Okt 2003

Wo kann ich Jawa ziehen

Hexer 27. Okt 2003

Warum ist Jawa gut

Christina Frost 08. Jul 2003

benötige Java

Computerinder 14. Dez 2002

http://www.microsoft.com/downloads/search.aspx?DisplayLang=en&CategoryID=7&ExpandTopList...

Fossil 12. Dez 2002

nimm halt die Java-Engine von SUN, ist eh sicherer :D : http://java.sun.com/getjava/


Folgen Sie uns
       


Golem.de hackt Wi-Fi-Kameras per Deauth

WLAN-Überwachungskameras lassen sich ganz einfach ausknipsen - Golem.de zeigt, wie.

Golem.de hackt Wi-Fi-Kameras per Deauth Video aufrufen
Kognitive Produktionssteuerung: Auf der Suche nach dem Universalroboter
Kognitive Produktionssteuerung
Auf der Suche nach dem Universalroboter

Roboter erledigen am Band jetzt schon viele Arbeiten. Allerdings müssen sie oft noch von Menschen kontrolliert und ihre Fehler ausgebessert werden. Wissenschaftler arbeiten daran, dass das in Zukunft nicht mehr so ist. Ziel ist ein selbstständig lernender Roboter für die Automobilindustrie.
Ein Bericht von Friedrich List

  1. Ocean Discovery X Prize Autonome Fraunhofer-Roboter erforschen die Tiefsee

ZFS erklärt: Ein Dateisystem, alle Funktionen
ZFS erklärt
Ein Dateisystem, alle Funktionen

Um für möglichst redundante und sichere Daten zu sorgen, ist längst keine teure Hardware mehr nötig. Ein Grund dafür ist das Dateisystem ZFS. Es bietet Snapshots, sichere Checksummen, eigene Raid-Level und andere sinnvolle Funktionen - kann aber zu Anfang überfordern.
Von Oliver Nickel

  1. Dateisystem OpenZFS soll einheitliches Repository bekommen
  2. Dateisystem ZFS on Linux unterstützt native Verschlüsselung

Definitive Editon angespielt: Das Age of Empires 2 für Könige
Definitive Editon angespielt
Das Age of Empires 2 für Könige

Die 27 Einzelspielerkampagnen sollen für rund 200 Stunden Beschäftigung sorgen, dazu kommen Verbesserungen bei der Grafik und Bedienung sowie eine von Grund auf neu programmierte Gegner- oder Begleit-KI: Die Definitive Edition von Age of Empires 2 ist erhältlich.


      •  /