Schweres Sicherheitsleck in Suns Java-Engine

Fehler in Java-Plug-In-Technik betrifft Internet Explorer, Firefox und Mozilla

Eine schwere Sicherheitslücke haben die Sicherheitsexperten von iDefense in der Plug-In-Architektur der Java 2 Runtime Environment Standard Edition (JRE) entdeckt, die es Angreifern gestattet, auf einem fremden Rechner beliebigen Programmcode auszuführen. Sun bietet bereits eine Version an, die das Sicherheitsloch in der Java-Engine schließt und so Windows- und Linux-Systeme gegen entsprechende Attacken schützt. Außerdem wurde eine weniger gefährliche Sicherheitsanfälligkeit in der Java-Implementierung von Opera entdeckt.

Artikel veröffentlicht am ,

Wie die Sicherheitsexperten von iDefense in einem Security Bulletin berichten, gestattet ein Sicherheitsloch in der Plug-In-Architektur der Java Engine, die Sicherheitseinschränkungen der Java-Sandbox zu umgehen. So lässt sich über JavaScript-Kommandos eine "unsafe class" laden, was normalerweise über ein Java-Applet nicht möglich sein sollte.

Das versetzt einen Angreifer in die Lage, beliebigen Programmcode über bösartige Java-Applets auf fremde Systeme zu schleusen, beliebige Daten von einem solchen System zu laden oder auf das Netzwerk eines anderen Nutzers zuzugreifen. Da sich Programmcode mit den Rechten des Nutzers ausführen lässt, verhilft das zu einer weit reichenden Kontrolle über das entsprechende System. Ein Opfer muss nur dazu gebracht werden, ein entsprechendes Java-Applet in einem der betroffenen Browser zu laden, zu denen der Internet Explorer, Mozilla und Firefox zählen, wobei Letztere sowohl auf der Windows- als auch auf der Linux-Plattform angreifbar sind. Nach Ansicht von iDefense könnte ein Angreifer einen plattformunabhängigen Exploit schreiben, der sowohl unter Windows als auch unter Linux für einen Angriff genutzt werden kann.

Das Sicherheitsloch wurde für die Java 2 Platform Standard Edition (J2SE) 1.4.2_01 und 1.4.2_04 bestätigt, könnte aber auch in früheren Versionen der Java-Engine stecken. Sun bietet mit der J2SE 1.4.2_06 bereits eine aktuelle Version kostenlos zum Download an, in der der Fehler behoben wurde.

Die aktuelle Opera-Version 7.54 ist von diesem Problem nicht betroffen, weil Opera - im Unterschied zu den anderen Web-Browsern - die Java-Funktionen nicht über die Plug-In-Technik einbindet, sondern sich für eine andere Methode entschieden hat. In dieser wurde dafür eine andere, als weniger gefährlich eingestufte Sicherheitsanfälligkeit gefunden, worüber Angreifer Angaben zum Home-Verzeichnis sowie den Java-Installationspfad auslesen können. Außerdem lässt sich darüber Opera gezielt zum Absturz bringen.

Der Fehler wurde für Opera 7.54 bestätigt, dürfte sich aber auch in früheren Opera-Versionen wiederfinden. Derzeit bietet Opera keine aktuelle Final-Version an, die den Fehler behebt. Nur in der Vorabversion von Opera 7.60 wurde das Problem beseitigt; eine Final-Version von Opera 7.60 wird für Ende des Jahres erwartet.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Verwandte Artikel
Patch für Suns Java-Machine stopft Sicherheitsloch
artikel-bild
Oracle
Critical-Patch-Update schließt 270 Sicherheitslücken
Java-Update für MacOS X 10.3 erschienen
Meistgelesen
artikel-bild
US Air Force
KI-Drohne bringt in Gedankenexperiment Befehlshaber um
artikel-bild
Forschung
Erstes Röntgenbild von einem einzelnen Atom
artikel-bild
Forschung oder Ölbohrung?
China gräbt ein zehn Kilometer tiefes Loch
Kommentarübersicht
Re: Wie steht es mit Java 1.50 ?
Autor 04. Jan 2006

Upps, Deutsch und Englisch sind nicht so deine Domäne oder :-) 1. heißt es "dann ist...

Re: Betrifft unter Windows XP SP2 nur FF NICHT IE???
JTR 07. Dez 2004

Doch, hier ist der beweis: http://www.analbash0rn.de/?name=Wjahat%20Waraich

Re: Wie steht es mit Java 1.50 ?
Rincewind 24. Nov 2004

ist nicht betroffen Wie fast immer gilt : Mit neuer Software wäre das dir nicht passiert...

Betrifft unter Windows XP SP2 nur FF NICHT IE???
Phil o'Soph 24. Nov 2004

Es gibt mehrere Hinweise darauf, dass unter Windows XP SP2 der Internet Explorer nicht...

Aktuell auf der Startseite von Golem.de
Forschung
Erstes Röntgenbild von einem einzelnen Atom

Bisher war die Röntgenemission eines einzelnen Atoms zu schwach, um es auf einer Röntgenaufnahme abzulichten. Mit einer neuen Technik geht das jetzt.

Forschung: Erstes Röntgenbild von einem einzelnen Atom
Artikel
  1. US Air Force: KI-Drohne bringt in Gedankenexperiment Befehlshaber um
    US Air Force  
    KI-Drohne bringt in Gedankenexperiment Befehlshaber um

    Die US Air Force und der verantwortliche Offizier stellen klar, dass es sich nur um ein Gedankenspiel handelt - und keinen echten Test.

  2. Streaming: Verbraucherschützer warnen vor Netflix-Phishing
    Streaming
    Verbraucherschützer warnen vor Netflix-Phishing

    Phishing-Nachrichten im Namen von Netflix sind nichts Neues - in der aktuellen Verwirrung rund um das Kontensharing könnten sie aber einfacher verfangen.

  3. Forschung oder Ölbohrung?: China gräbt ein zehn Kilometer tiefes Loch
    Forschung oder Ölbohrung?
    China gräbt ein zehn Kilometer tiefes Loch

    Die Bohrung im Westen Chinas soll dazu dienen, mehr über das Innere des Planeten herauszufinden - oder doch dazu, um nach Öl zu suchen?

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Tiefstpreise: AMD Ryzen 9 7900X3D 534€, KFA2 RTX 3060 Ti 329,99€, Kingston Fury SSD 2TB (PS5-komp.) 129,91€ • Sony Days of Play: PS5-Spiele & Zubehör bis -70% • Roccat PC-Zubehör bis -50% • AVM Modems & Repeater bis -36% • Sony Deals Week [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /