Build 3805 schließt Lücken in Microsofts JVM

Eine bereits geschlossen geglaubte Lücke in der Virtual Machine (VM) von Microsofts 32-Bit-Betriebssystemen hat sich erneut aufgetan. Der Software-Konzern bietet jetzt den Build 3805 der VM als Gegenmittel für alle bislang bekannten Lücken an.

Wie schon berichtet, hat die Microsoft VM Probleme im Umgang mit Java Applets, wenn der Benutzer über einen Proxy- Server ins Internet geht. Ein präpariertes Java- Applet kann dann innerhalb des Internet Explorers missbraucht werden, um an persönliche Daten des Benutzers zu gelangen. Diese Lücke hat Microsoft mit einem Patch geschlossen.

Jetzt ist ein neues Problem aufgetaucht, das aus einer Fehlfunktion des Virtual Machine Verifier resultiert. Bei der Verifizierung von Code für die Virtual Machine kann es einem Angreifer gelingen, über ein präpariertes Java Applet die Sandbox zu verlassen. Das bedeutet, dass er Code seiner Wahl mit allen Benutzerrechten ausführen kann. Allerdings muss es ihm zuvor gelingen, den Benutzer auf eine Webseite mit dem schädlichen Applet zu locken. Laut Microsoft handelt es sich dabei um eine Variante einer bekannten Lücke, die bereits Gegenstand eines Security Bulletin (MS99-045) im Jahr 1999 war.

Allen Benutzern von Windows-Betriebssystemen und Internet Explorer wird von Microsoft dringend empfohlen, die Microsoft Virtual Machine Build 3805 einzuspielen. Den Download sowie Anweisungen für die verschiedenen Betriebssysteme finden Sie hier. Details zur Lücke nennt das zugehörige Bulletin MS02-013. Weitere Lücken im Internet Explorer sind in diesem Report besprochen. (uba)