Sun warnt vor Sicherheitslücke in Java

Java-Erfinder Sun Microsystems hat ein Loch im Sicherheitssystem von Java entdeckt. Die nur unter seltenen Umständen auftretende Lücke erlaubt, beliebigen Code auf angegriffenen Rechnern auszuführen.

Sun selbst hat den Fehler über die Sicherheits-Mailingliste Bugtraq von SecurityFocus gemeldet. Demnach kann ein bösartiges Java-Applet Betriebssystem-Code ausführen, auch wenn es selbst nicht durch den Anwender dafür freigeschaltet wurde. Zuvor muss jedoch einmal einem anderen Applet dieses Recht eingeräumt worden sein, standardmäßig darf das keine Java-Programm. Das Schad-Programm muss außerdem wissen, wie und wo einem anderen Applet dieses Recht eingeräumt wurde.

Deshalb stuft Sun Microsystems das Risiko als gering ein. Ryan Russell von SecurityFocus sieht das genau so, kritisiert Sun aber dennoch: "Man muss wirklich mehr Details kennen, als Sun bisher bekannt gegeben hat, um genau zu wissen, unter welchen Umständen das auftritt."

Sun mag sich in Sicherheit wiegen, da nach eigenen Angaben die Java-VMs in Netscape Navigator und Internet Explorer nicht von dem Fehler betroffen sind. Er steckt jedoch laut Sun in zahlreichen Versionen der separaten Java Runtime Environment und des SDK für Windows, Linux und Solaris. Eine Liste der betroffenen Pakete mit den Links zu korrigierten Updates findet sich hier.

Ein Dritthersteller hat ebenfalls bereits reagiert: Hewlett-Packard bietet Aktualisierungen für mehrere Versionen seines Unix-Systems HP-UX an. (nie)