• IT-Karriere:
  • Services:

Microsoft stopft sieben Sicherheitslücken in Java-Engine

Einspielung des aktuellen Patches dringend empfohlen

Gleich sieben Sicherheitslücken behebt Microsoft in der Java Virtual Machine aus Redmond mit einem passenden Patch. Einige der Lecks geben einem Angreifer sogar die komplette Kontrolle über ein anderes System. Die Virtual Machine (VM) liefert Microsoft in zahlreichen Windows-Versionen und auch mit dem Internet Explorer aus. Der aktuelle Patch behebt auch gleich frühere Sicherheitslücken, weswegen Microsoft die Installation dringend empfiehlt.

Artikel veröffentlicht am ,

Allen Sicherheitslücken in der Virtual Machine ist gleich, dass Angreifer über eine entsprechend präparierte Webseite oder HTML-Mail die betreffenden Lecks in der Software nutzen können. So erlaubt ein Sicherheitsleck den Zugriff auf COM-Objects über nicht-zertifizierte Java-Applets, um das betreffende System zu kontrollieren. Außerdem ignoriert die Virtual Machine die Vorgabe, dass ein Applet nur auf Daten in dem Verzeichnis und den darunter liegenden Ordnern zugreifen darf. Stattdessen kann ein auf einer Webseite abgelegtes Java-Applet so auch auf die lokalen Dateien des Nutzers zugreifen.

Stellenmarkt
  1. INTENSE AG, Würzburg, Köln, Saarbrücken
  2. ECR Services GmbH, München

Schließlich ermöglicht ein anderes Sicherheitsleck, ein Java-Applet von einer anderen Webseite auszuführen, was der Nutzer nicht erfährt. Somit erhalten Angreifer etwa Bankdaten, die der Nutzer meint, an seine Bank zu übermitteln, die aber nicht an die Bank gehen. Schließlich greift die Virtual Machine auf JDBC-APIs zu, was der VM gar nicht gestattet ist. Damit lassen sich dann Datenbank-Dateien nach Belieben hinzufügen, ändern oder auch löschen.

Ein anderes Sicherheitsloch erlaubt es einem Angreifer, ein bestimmtes Java-Object nicht zu laden und zu verhindern, dass dieses Objekt ausgeführt wird. Über eine weitere Sicherheitslücke erfährt ein Angreifer den Namen des Nutzers und kann diese Information missbrauchen. Schließlich kann ein Angreifer etwa den Internet Explorer gezielt über ein anderes Leck in der Virtual Machine zum Absturz bringen.

Den Patch für die Java Virtual Machine stellt Microsoft derzeit ausschließlich über die Windows-Update-Funktion zum Download bereit. Die Virtual Machine ist Bestandteil von Windows ab der Version 95 sowie dem Internet Explorer.

Alternativ zur Virtual Machine von Microsoft kann auch die Java Virtual Machine von Sun verwendet werden, die alle diese Sicherheitslecks nicht aufweist.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. 589,00€ (Bestpreis!)
  2. 649,99€ (Bestpreis!)
  3. 17,99€ (PC)/18,74€ (Mac)
  4. (Lenovo IdeaPad S340 für 649,00€ - Vergleichspreis: 668,00€ bei Ebay)

Hexer 27. Okt 2003

Wo kann ich Jawa ziehen

Hexer 27. Okt 2003

Warum ist Jawa gut

Christina Frost 08. Jul 2003

benötige Java

Computerinder 14. Dez 2002

http://www.microsoft.com/downloads/search.aspx?DisplayLang=en&CategoryID=7&ExpandTopList...

Fossil 12. Dez 2002

nimm halt die Java-Engine von SUN, ist eh sicherer :D : http://java.sun.com/getjava/


Folgen Sie uns
       


Doom Eternal - Test

Doom Eternal ist in den richtigen Momenten wieder eine sehr spaßige Ballerorgie, wird aber an einigen Stellen durch Hüpfpassagen ausgebremst.

Doom Eternal - Test Video aufrufen
    •  /