Microsoft stopft sieben Sicherheitslücken in Java-Engine

Einspielung des aktuellen Patches dringend empfohlen

Gleich sieben Sicherheitslücken behebt Microsoft in der Java Virtual Machine aus Redmond mit einem passenden Patch. Einige der Lecks geben einem Angreifer sogar die komplette Kontrolle über ein anderes System. Die Virtual Machine (VM) liefert Microsoft in zahlreichen Windows-Versionen und auch mit dem Internet Explorer aus. Der aktuelle Patch behebt auch gleich frühere Sicherheitslücken, weswegen Microsoft die Installation dringend empfiehlt.

Artikel veröffentlicht am ,

Allen Sicherheitslücken in der Virtual Machine ist gleich, dass Angreifer über eine entsprechend präparierte Webseite oder HTML-Mail die betreffenden Lecks in der Software nutzen können. So erlaubt ein Sicherheitsleck den Zugriff auf COM-Objects über nicht-zertifizierte Java-Applets, um das betreffende System zu kontrollieren. Außerdem ignoriert die Virtual Machine die Vorgabe, dass ein Applet nur auf Daten in dem Verzeichnis und den darunter liegenden Ordnern zugreifen darf. Stattdessen kann ein auf einer Webseite abgelegtes Java-Applet so auch auf die lokalen Dateien des Nutzers zugreifen.

Stellenmarkt
  1. Qualitätsingenieur (m/w/d) Software / System
    Elektronische Fahrwerksysteme GmbH, Ingolstadt
  2. Full Stack Developer / Softwareentwickler (m/w/d) Data Platform/E-Commerce
    PTV Group, Karlsruhe
Detailsuche

Schließlich ermöglicht ein anderes Sicherheitsleck, ein Java-Applet von einer anderen Webseite auszuführen, was der Nutzer nicht erfährt. Somit erhalten Angreifer etwa Bankdaten, die der Nutzer meint, an seine Bank zu übermitteln, die aber nicht an die Bank gehen. Schließlich greift die Virtual Machine auf JDBC-APIs zu, was der VM gar nicht gestattet ist. Damit lassen sich dann Datenbank-Dateien nach Belieben hinzufügen, ändern oder auch löschen.

Ein anderes Sicherheitsloch erlaubt es einem Angreifer, ein bestimmtes Java-Object nicht zu laden und zu verhindern, dass dieses Objekt ausgeführt wird. Über eine weitere Sicherheitslücke erfährt ein Angreifer den Namen des Nutzers und kann diese Information missbrauchen. Schließlich kann ein Angreifer etwa den Internet Explorer gezielt über ein anderes Leck in der Virtual Machine zum Absturz bringen.

Den Patch für die Java Virtual Machine stellt Microsoft derzeit ausschließlich über die Windows-Update-Funktion zum Download bereit. Die Virtual Machine ist Bestandteil von Windows ab der Version 95 sowie dem Internet Explorer.

Golem Akademie
  1. Kubernetes Dive-in-Workshop: virtueller Zwei-Tage-Workshop
    16.–17. November 2021, Virtuell
  2. C++ Programmierung Basics: virtueller Fünf-Tage-Workshop
    15.–19. November 2021, virtuell
Weitere IT-Trainings

Alternativ zur Virtual Machine von Microsoft kann auch die Java Virtual Machine von Sun verwendet werden, die alle diese Sicherheitslecks nicht aufweist.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Hexer 27. Okt 2003

Wo kann ich Jawa ziehen

Hexer 27. Okt 2003

Warum ist Jawa gut

Christina Frost 08. Jul 2003

benötige Java

Computerinder 14. Dez 2002

http://www.microsoft.com/downloads/search.aspx?DisplayLang=en&CategoryID=7&ExpandTopList...

Fossil 12. Dez 2002

nimm halt die Java-Engine von SUN, ist eh sicherer :D : http://java.sun.com/getjava/



Aktuell auf der Startseite von Golem.de
Pixel 6 und 6 Pro im Test
Google hat es endlich geschafft

Das Pixel 6 und Pixel 6 Pro werden endlich Googles Rang als Android-Macher gerecht: Die Smartphones bieten starke Hardware und sinnvolle Software.
Ein Test von Tobias Költzsch

Pixel 6 und 6 Pro im Test: Google hat es endlich geschafft
Artikel
  1. Apple-Software-Updates: iOS 15.1, iPadOS 15.1, WatchOS 8.1 und TVOS 15.1 verfügbar
    Apple-Software-Updates
    iOS 15.1, iPadOS 15.1, WatchOS 8.1 und TVOS 15.1 verfügbar

    Die ersten größeren Aktualisierungen für iPhone, iPad, Apple Watch und Apple TV sind da. iPhone-13-Nutzer profitieren besonders.

  2. Desktop-Betriebssystem: Apple MacOS Monterey mit neuem Safari und Fokus-Funktion
    Desktop-Betriebssystem
    Apple MacOS Monterey mit neuem Safari und Fokus-Funktion

    Apple hat die finale Version seines Mac-Betriebssystems MacOS Monterey veröffentlicht. Dabei sind ein neuer Safari-Browser und eine Konzentrationsfunktion.

  3. 20 Jahre Windows XP: Der letzte XP-Fan
    20 Jahre Windows XP
    Der letzte XP-Fan

    Windows XP wird 20 Jahre alt - und nur wenige nutzen es noch täglich. Golem.de hat einen dieser Anwender besucht.
    Ein Interview von Martin Wolf

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Bosch Professional günstiger • Punkte sammeln bei MM für Club-Mitglieder: 1.000 Punkte geschenkt • Alternate (u. a. Apacer 1TB SATA 86,90€ & Team Group 1TB PCIe 4.0 159,90€) • Echo Show 8 (1. Gen.) 64,99€ • Halloween Sale bei Gamesplanet • Smart Home von Eufy günstiger [Werbung]
    •  /