Microsoft stopft sieben Sicherheitslücken in Java-Engine
Allen Sicherheitslücken in der Virtual Machine ist gleich, dass Angreifer über eine entsprechend präparierte Webseite oder HTML-Mail die betreffenden Lecks in der Software nutzen können. So erlaubt ein Sicherheitsleck den Zugriff auf COM-Objects über nicht-zertifizierte Java-Applets, um das betreffende System zu kontrollieren. Außerdem ignoriert die Virtual Machine die Vorgabe, dass ein Applet nur auf Daten in dem Verzeichnis und den darunter liegenden Ordnern zugreifen darf. Stattdessen kann ein auf einer Webseite abgelegtes Java-Applet so auch auf die lokalen Dateien des Nutzers zugreifen.
Schließlich ermöglicht ein anderes Sicherheitsleck, ein Java-Applet von einer anderen Webseite auszuführen, was der Nutzer nicht erfährt. Somit erhalten Angreifer etwa Bankdaten, die der Nutzer meint, an seine Bank zu übermitteln, die aber nicht an die Bank gehen. Schließlich greift die Virtual Machine auf JDBC-APIs zu, was der VM gar nicht gestattet ist. Damit lassen sich dann Datenbank-Dateien nach Belieben hinzufügen, ändern oder auch löschen.
Ein anderes Sicherheitsloch erlaubt es einem Angreifer, ein bestimmtes Java-Object nicht zu laden und zu verhindern, dass dieses Objekt ausgeführt wird. Über eine weitere Sicherheitslücke erfährt ein Angreifer den Namen des Nutzers und kann diese Information missbrauchen. Schließlich kann ein Angreifer etwa den Internet Explorer gezielt über ein anderes Leck in der Virtual Machine zum Absturz bringen.
Den Patch für die Java Virtual Machine stellt Microsoft derzeit ausschließlich über die Windows-Update-Funktion zum Download bereit. Die Virtual Machine ist Bestandteil von Windows ab der Version 95 sowie dem Internet Explorer.
Alternativ zur Virtual Machine von Microsoft kann auch die Java Virtual Machine von Sun verwendet werden, die alle diese Sicherheitslecks nicht aufweist.