Lücke in Java-Plug-in macht Browser unsicher

Ein Lücke in den Java-Plug-ins von Suns Java 2 Runtime Environment Standard Edition (JRE) erlaubt es Angreifern, beliebigen Code auf betroffenen Rechnern auszuführen.

Betroffen von dem Problem sind die Java-fähigen Browser Internet Explorer, Mozilla und Firefox. Sun bietet eine aktualisierte Version an, die das Problem behebt. Angreifer können laut iDefense, den Entdeckern der Lücke, über Java Applets die Sicherheitseinstellungen der Java-Sandbox umgehen. Auch die Sicherheitseinstellungen für Applets sind außer Kraft gesetzt.

Möglich wird dies durch eine Schwachstelle in den Beschränkungen für die Datenverbindung zwischen Java und Javascript bei Webbrowsern. Es wird durch die Lücke möglich, über Javascripts eine Java-Klasse zu laden, die im Sinne des Erfinders nur für die Virtual Machine zugänglich sein dürfte. Java Applets sollten auf diese Sorte von Klassen keinen Zugriff haben, es sei denn der Benutzer erlaubt es.

Wird die Lücke erfolgreich genutzt, was einen Java-fähigen Browser auf einem verwundbaren System - egal ob Windows oder Linux - voraussetzt, und kommt es zur Ausführung eines präparierten Applets, sind nahezu beliebige Aktionen im Kontext des Benutzers möglich.

Die Lücke wird durch die J2SE v 1.4.2_06 geschlossen, berichtet iDefense im zugehörigen Bulletin. Als Workaround ist auch das Abschalten von Javascript und Java möglich.

Unentbehrliches Basiswissen für Netzwerk-Profis liefert das tecCHANNEL-Compact "Sicherheit für Netzwerk & Server", das Sie online zum Vorzugspreis von 9,90 Euro bestellen oder für 4,90 Euro als PDF downloaden können. In unserem Premium-Bereich gibt es diese und weitere tecCHANNEL-Compact-Ausgaben kostenlos zum Download. (uba)