Patch für Suns Java-Machine stopft Sicherheitsloch

Sicherheitsleck erlaubt die Umgehung der Restriktionen der Java-Sandbox. Sun bietet ab sofort einen Patch für die Java Virtual Machine an, um ein Sicherheitsloch zu stopfen, worüber Angreifer die Sandbox-Restriktionen umgehen und so auf prinzipiell alle Bereiche des Rechners zugreifen können. Entdeckt wurde das Sicherheitsloch von Last Stage of Delirium (LSD) bereits Anfang Juni 2003, allerdings hat man mit einer Veröffentlichung der betreffenden Informationen gewartet, bis nun entsprechende Patches zum Download bereitstehen.

24. Oktober 2003 um 10:54 Uhr / Ingo Pakalski

Kommentare News folgen (öffnet im neuen Fenster)

Durch das Sicherheitsleck arbeitet der ClassLoader nicht korrekt, so dass beliebige Klassen in die Java Virtual Machine (JVM) geladen werden können, womit der Security Manager der JVM umgangen wird. Über ein entsprechendes Applet lassen sich so die Sandbox-Restriktionen vollständig umgehen, um über solche Applets auf zahlreiche Bereiche des Rechners zuzugreifen.

Die Entdecker des Sicherheitslochs berichten, dass sie einen Beispiel-Code geschrieben haben, der erfolgreich die Sandbox-Restriktionen unter Netscape sowie Mozilla umgeht. Nicht getestet wurde das Verhalten in den Browsern Internet Explorer und Opera. Allerdings dürfte es hier bei Einsatz einer entsprechenden Java Virtual Machine zu ähnlichen Ergebnissen kommen.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Workshops und Weiterbildungen: Administration von Microsoft 365? So gehts!

zum Artikel

Karriere Ratgeber: Microsoft Cloud verwalten auf höchstem Niveau

zum Ratgeber

Seminar: Microsoft 365 Zero Trust: virtueller Ein-Tages-Workshop

zum Kurs

E-Learning: E-Mail Marketing Grundkurs für Selbstständige und Einsteiger (E-Learning)

zum Kurs

Sun hat den Fehler in den SDK- und JRE-Versionen bereinigt und diese auf die Versionsnummer 1.4.2_2 gehievt, die ab sofort zum Download(öffnet im neuen Fenster) für Windows, Linux und Solaris angeboten werden. Sun hat die Erkenntnisse von LSD bestätigt und weist darauf hin, dass sowohl SDK als auch JRE in den Versionen 1.4.1_03 und früher, 1.3.1_08 und früher sowie 1.2.2_015 und früher davon betroffen sind.

Zur Startseite Kommentare

Reklame Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon

Relevante Themen