Abo
  • Services:
Anzeige

Schweres Sicherheitsleck in Suns Java-Engine

Fehler in Java-Plug-In-Technik betrifft Internet Explorer, Firefox und Mozilla

Eine schwere Sicherheitslücke haben die Sicherheitsexperten von iDefense in der Plug-In-Architektur der Java 2 Runtime Environment Standard Edition (JRE) entdeckt, die es Angreifern gestattet, auf einem fremden Rechner beliebigen Programmcode auszuführen. Sun bietet bereits eine Version an, die das Sicherheitsloch in der Java-Engine schließt und so Windows- und Linux-Systeme gegen entsprechende Attacken schützt. Außerdem wurde eine weniger gefährliche Sicherheitsanfälligkeit in der Java-Implementierung von Opera entdeckt.

Wie die Sicherheitsexperten von iDefense in einem Security Bulletin berichten, gestattet ein Sicherheitsloch in der Plug-In-Architektur der Java Engine, die Sicherheitseinschränkungen der Java-Sandbox zu umgehen. So lässt sich über JavaScript-Kommandos eine "unsafe class" laden, was normalerweise über ein Java-Applet nicht möglich sein sollte.

Anzeige

Das versetzt einen Angreifer in die Lage, beliebigen Programmcode über bösartige Java-Applets auf fremde Systeme zu schleusen, beliebige Daten von einem solchen System zu laden oder auf das Netzwerk eines anderen Nutzers zuzugreifen. Da sich Programmcode mit den Rechten des Nutzers ausführen lässt, verhilft das zu einer weit reichenden Kontrolle über das entsprechende System. Ein Opfer muss nur dazu gebracht werden, ein entsprechendes Java-Applet in einem der betroffenen Browser zu laden, zu denen der Internet Explorer, Mozilla und Firefox zählen, wobei Letztere sowohl auf der Windows- als auch auf der Linux-Plattform angreifbar sind. Nach Ansicht von iDefense könnte ein Angreifer einen plattformunabhängigen Exploit schreiben, der sowohl unter Windows als auch unter Linux für einen Angriff genutzt werden kann.

Das Sicherheitsloch wurde für die Java 2 Platform Standard Edition (J2SE) 1.4.2_01 und 1.4.2_04 bestätigt, könnte aber auch in früheren Versionen der Java-Engine stecken. Sun bietet mit der J2SE 1.4.2_06 bereits eine aktuelle Version kostenlos zum Download an, in der der Fehler behoben wurde.

Die aktuelle Opera-Version 7.54 ist von diesem Problem nicht betroffen, weil Opera - im Unterschied zu den anderen Web-Browsern - die Java-Funktionen nicht über die Plug-In-Technik einbindet, sondern sich für eine andere Methode entschieden hat. In dieser wurde dafür eine andere, als weniger gefährlich eingestufte Sicherheitsanfälligkeit gefunden, worüber Angreifer Angaben zum Home-Verzeichnis sowie den Java-Installationspfad auslesen können. Außerdem lässt sich darüber Opera gezielt zum Absturz bringen.

Der Fehler wurde für Opera 7.54 bestätigt, dürfte sich aber auch in früheren Opera-Versionen wiederfinden. Derzeit bietet Opera keine aktuelle Final-Version an, die den Fehler behebt. Nur in der Vorabversion von Opera 7.60 wurde das Problem beseitigt; eine Final-Version von Opera 7.60 wird für Ende des Jahres erwartet.


eye home zur Startseite
Autor 04. Jan 2006

Upps, Deutsch und Englisch sind nicht so deine Domäne oder :-) 1. heißt es "dann ist...

JTR 07. Dez 2004

Doch, hier ist der beweis: http://www.analbash0rn.de/?name=Wjahat%20Waraich

Rincewind 24. Nov 2004

ist nicht betroffen Wie fast immer gilt : Mit neuer Software wäre das dir nicht passiert...

Phil o'Soph 24. Nov 2004

Es gibt mehrere Hinweise darauf, dass unter Windows XP SP2 der Internet Explorer nicht...

Schaller + Rauch 24. Nov 2004

$ ./java -version java version "1.4.2_06" Java(TM) 2 Runtime Environment, Standard...


SchuKo.Net Kundeninformationen / 24. Nov 2004



Anzeige

Stellenmarkt
  1. über expertalis GmbH, Tübingen
  2. Vodafone GmbH, Düsseldorf
  3. über KILMONA PersonalManagement GmbH, Großraum Karlsruhe
  4. operational services GmbH & Co. KG, Berlin


Anzeige
Hardware-Angebote
  1. 59,90€

Folgen Sie uns
       


  1. Monopol

    Qualcomm muss 1 Milliarde Euro Strafe an EU zahlen

  2. Eagle EG6330K

    Die Isetta wird elektrisch

  3. Alexa und Google Assistant im Test

    Okay Google, es ist Zeit für einen Sprachkurs

  4. SOS

    Pubg plus Dschungelcamp

  5. Ohne Abomodell

    Google bietet im Play Store Hörbücher an

  6. Dating-App

    Tinder-Apps übertragen Bilder unverschlüsselt

  7. Atos Bull Sequana X1000

    Jülich bekommt schnellsten deutschen Supercomputer

  8. Erneuerbare Energien

    Energieunternehmen verdient gut mit Teslas Netzspeicher

  9. Hydrogen One

    REDs Holo-Smartphone soll im Sommer 2018 erscheinen

  10. Pocketstar

    Mini-Mini-Game-Boy für den Schlüsselbund



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Preiswertes Grafik-Dock ausprobiert: Ein eGPU-Biest für unter 50 Euro
Preiswertes Grafik-Dock ausprobiert
Ein eGPU-Biest für unter 50 Euro
  1. XG Station Pro Asus' zweite eGPU-Box ist schlicht
  2. Zotac Amp Box (Mini) TB3-Gehäuse eignen sich für eGPUs oder SSDs
  3. Snpr External Graphics Enclosure KFA2s Grafikbox samt Geforce GTX 1060 kostet 500 Euro

EU-Urheberrechtsreform: Abmahnungen treffen "nur die Dummen"
EU-Urheberrechtsreform
Abmahnungen treffen "nur die Dummen"
  1. Fake News Murdoch fordert von Facebook Sendegebühr für Medien
  2. EU-Netzpolitik Mit vollen Hosen in die App-ocalypse
  3. Leistungsschutzrecht EU-Kommission hält kritische Studie zurück

Computerforschung: Quantencomputer aus Silizium werden realistisch
Computerforschung
Quantencomputer aus Silizium werden realistisch
  1. Tangle Lake Intel zeigt 49-Qubit-Chip
  2. Die Woche im Video Alles kaputt
  3. Q# und QDK Microsoft veröffentlicht Entwicklungskit für Quantenrechner

  1. Recycling?

    ptepic | 12:46

  2. Re: Preis bei Abo bei Audible

    rapunzel666 | 12:44

  3. Re: Abschlussnote 1,0 Dipl.-Inf. (Uni) ... ich...

    a user | 12:43

  4. Re: Erinnerungen im Kalender und SmartHome...

    Wanderdüne | 12:43

  5. Re: 9000 Euro pro MWh?

    Misel | 12:42


  1. 12:54

  2. 12:45

  3. 12:18

  4. 12:06

  5. 11:48

  6. 11:43

  7. 11:38

  8. 11:28


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel