Schwere Sicherheitslücke in Java Plug-ins

30. Dezember 2004, 13:42
3 Postings

Lücke in der Sun Software gewährt Angreifern Zugriff auf ein System

Der Finne Jouko Pynnonen hat unter dem Titel "Sun Java Plugin arbitrary package access vulnerability" auf eine schwere Sicherheitslücke im Java Runtime Environment von Sun Microsystems hingewiesen.

Vor der Version 1.4.2_06

Laut den Informationen von Pyvonnen und einem Security Alert von Sun sind die Versionen 1.4.2_05 betroffen. Erst mit der neuen Version J2SE v 1.4.2_06 hat Sun das Problem behoben. Über die schwere Sicherheitslücke können Angreifer mit Hilfe von Java Script sonst wirksame Schutzmechanismen umgehen und Zugriff auf ein System erlangen.

Lücke im Java Plug-in

In einem Security Advisory von iDEFENSE, weist der Sicherheitsdienstleisters darauf hin, dass die Sicherheitslücke durch einen Fehler in Suns Java Plug-ins für Browser auftritt. Angreifer können mit präparierten Java Applets aus der Sandbox ausbrechen und dann die Kontrolle über einen Rechner erlangen. Das Problem liegt in der Zugriffsbeschränkung beim Datenaustausch zwischen Java und Javascript. Durch die Schwachstelle wird es Javascripts erlaubt, private Klassen zu laden, auf die eigentlich nur die Virtual Machine Zugriff haben sollte.(red)

Share if you care.