Abo
  • Services:

Schweres Sicherheitsleck in Suns Java-Engine

Fehler in Java-Plug-In-Technik betrifft Internet Explorer, Firefox und Mozilla

Eine schwere Sicherheitslücke haben die Sicherheitsexperten von iDefense in der Plug-In-Architektur der Java 2 Runtime Environment Standard Edition (JRE) entdeckt, die es Angreifern gestattet, auf einem fremden Rechner beliebigen Programmcode auszuführen. Sun bietet bereits eine Version an, die das Sicherheitsloch in der Java-Engine schließt und so Windows- und Linux-Systeme gegen entsprechende Attacken schützt. Außerdem wurde eine weniger gefährliche Sicherheitsanfälligkeit in der Java-Implementierung von Opera entdeckt.

Artikel veröffentlicht am ,

Wie die Sicherheitsexperten von iDefense in einem Security Bulletin berichten, gestattet ein Sicherheitsloch in der Plug-In-Architektur der Java Engine, die Sicherheitseinschränkungen der Java-Sandbox zu umgehen. So lässt sich über JavaScript-Kommandos eine "unsafe class" laden, was normalerweise über ein Java-Applet nicht möglich sein sollte.

Stellenmarkt
  1. BSH Hausgeräte GmbH, Dillingen
  2. Robert Bosch GmbH, Leonberg

Das versetzt einen Angreifer in die Lage, beliebigen Programmcode über bösartige Java-Applets auf fremde Systeme zu schleusen, beliebige Daten von einem solchen System zu laden oder auf das Netzwerk eines anderen Nutzers zuzugreifen. Da sich Programmcode mit den Rechten des Nutzers ausführen lässt, verhilft das zu einer weit reichenden Kontrolle über das entsprechende System. Ein Opfer muss nur dazu gebracht werden, ein entsprechendes Java-Applet in einem der betroffenen Browser zu laden, zu denen der Internet Explorer, Mozilla und Firefox zählen, wobei Letztere sowohl auf der Windows- als auch auf der Linux-Plattform angreifbar sind. Nach Ansicht von iDefense könnte ein Angreifer einen plattformunabhängigen Exploit schreiben, der sowohl unter Windows als auch unter Linux für einen Angriff genutzt werden kann.

Das Sicherheitsloch wurde für die Java 2 Platform Standard Edition (J2SE) 1.4.2_01 und 1.4.2_04 bestätigt, könnte aber auch in früheren Versionen der Java-Engine stecken. Sun bietet mit der J2SE 1.4.2_06 bereits eine aktuelle Version kostenlos zum Download an, in der der Fehler behoben wurde.

Die aktuelle Opera-Version 7.54 ist von diesem Problem nicht betroffen, weil Opera - im Unterschied zu den anderen Web-Browsern - die Java-Funktionen nicht über die Plug-In-Technik einbindet, sondern sich für eine andere Methode entschieden hat. In dieser wurde dafür eine andere, als weniger gefährlich eingestufte Sicherheitsanfälligkeit gefunden, worüber Angreifer Angaben zum Home-Verzeichnis sowie den Java-Installationspfad auslesen können. Außerdem lässt sich darüber Opera gezielt zum Absturz bringen.

Der Fehler wurde für Opera 7.54 bestätigt, dürfte sich aber auch in früheren Opera-Versionen wiederfinden. Derzeit bietet Opera keine aktuelle Final-Version an, die den Fehler behebt. Nur in der Vorabversion von Opera 7.60 wurde das Problem beseitigt; eine Final-Version von Opera 7.60 wird für Ende des Jahres erwartet.



Anzeige
Spiele-Angebote
  1. 16,49€
  2. + Prämie (u. a. Far Cry 5, Elex, Assassins Creed Origins) für 62€
  3. 99,99€

Autor 04. Jan 2006

Upps, Deutsch und Englisch sind nicht so deine Domäne oder :-) 1. heißt es "dann ist...

JTR 07. Dez 2004

Doch, hier ist der beweis: http://www.analbash0rn.de/?name=Wjahat%20Waraich

Rincewind 24. Nov 2004

ist nicht betroffen Wie fast immer gilt : Mit neuer Software wäre das dir nicht passiert...

Phil o'Soph 24. Nov 2004

Es gibt mehrere Hinweise darauf, dass unter Windows XP SP2 der Internet Explorer nicht...

Schaller + Rauch 24. Nov 2004

$ ./java -version java version "1.4.2_06" Java(TM) 2 Runtime Environment, Standard...


Folgen Sie uns
       


Genfer Autosalon 2018 - Bericht

Wir fassen den Genfer Autosalon 2018 im Video zusammen.

Genfer Autosalon 2018 - Bericht Video aufrufen
Razer Nommo Chroma im Test: Blinkt viel, klingt weniger
Razer Nommo Chroma im Test
Blinkt viel, klingt weniger

Wenn die Razer Nommo Chroma eines sind, dann auffällig. Dafür sorgen die ungewöhnliche Form und die LED-Ringe, die sich beliebig konfigurieren lassen. Die Lautsprecher sind aber eher ein Hingucker als ein Hinhörer.
Ein Test von Oliver Nickel

  1. Razer Kiyo und Seiren X im Test Nicht professionell, aber schnell im Einsatz
  2. Stereolautsprecher Razer Nommo "Sind das Haartrockner?"
  3. Nextbit Cloud-Speicher für Robin-Smartphone wird abgeschaltet

P20 Pro im Kameratest: Huaweis Dreifach-Kamera schlägt die Konkurrenz
P20 Pro im Kameratest
Huaweis Dreifach-Kamera schlägt die Konkurrenz

Mit dem P20 Pro will Huawei sich an die Spitze der Smartphone-Kameras katapultieren. Im Vergleich mit der aktuellen Konkurrenz zeigt sich, dass das P20 Pro tatsächlich über eine sehr gute Kamera verfügt: Die KI-Funktionen können unerfahrenen Nutzern zudem das Fotografieren erleichtern.
Ein Test von Tobias Költzsch

  1. Android Huawei präsentiert drei neue Smartphones ab 120 Euro
  2. Wie Samsung Huawei soll noch für dieses Jahr faltbares Smartphone planen
  3. Porsche Design Mate RS Huawei bringt 512-GByte-Smartphone für 2.100 Euro

Datenschutz: Der Nutzer ist willig, doch die AGB sind schwach
Datenschutz
Der Nutzer ist willig, doch die AGB sind schwach

Verbraucher verstehen die Texte oft nicht wirklich, in denen Unternehmen erklären, wie ihre Daten verarbeitet werden. Datenschutzexperten und -forscher suchen daher nach praktikablen Lösungen.
Ein Bericht von Christiane Schulzki-Haddouti

  1. Soziales Netzwerk Facebook will in Deutschland Vertrauen wiedergewinnen
  2. Denial of Service Facebook löscht Cybercrime-Gruppen mit 300.000 Mitgliedern
  3. Vor Anhörungen Zuckerberg nimmt alle Schuld auf sich

    •  /