Kritische Lücke in Suns Java Web Start
Durch eine Schwachstelle in Suns Java Web Start können Anwendungen ihre Zugriffsrechte erhöhen und sich beispielsweise selbst Lese- und Schreibrechte gewähren. Bereits durch den Besuch einer Web-Seite kann das System mit Schädlingen infiziert werden.
Eine Schwachstelle in Suns Java Web Start gefährdet die Sicherheit von PCs. Bereits durch den Besuch einer präparierten Web-Seite kann das System mit Schädlingen infiziert werden. Web Start ist eine Technik, mit deren Hilfe sich Java-Anwendungen sehr leicht über Web-Server verteilen und über einen Browser aufrufen lassen. Sie ist Bestandteil der Java-Laufzeitumgebung (JRE).
Durch einen Fehler im Web Start Launcher können Java-Anwendungen ihre Zugriffsrechte auf ein System erhöhen und sich beispielsweise selbst Lese- und Schreibrechte gewähren oder bereits auf dem PC vorhandene andere Programme starten. Normalerweise sollte die Sandbox dies bei nicht vertrauenswürdigen Java-Anwendungen verhindern. Aufgrund der Lücke im Launcher kann ein Angreifer mit manipulierten JNLP-Dateien aber eigene Befehle an die Java Virtual Machine übergeben und so die Sandbox abschalten.
Betroffen ist Java Web Start unter Windows, Solaris und Linux in allen Versionen 1.4.2 der Java 2 Platform Standard Edition (J2SE) bis einschließlich 1.4.2_06. Nicht betroffen sind J2SE 5.0 und J2SE vor Version 1.4.2. Die Lücke ist unabhängig vom eingesetzten Browser (Internet Explorer, Firefox und Mozilla), nur Opera ist nicht betroffen, da er standardmäßig nicht mit JNLP-Dateien verknüpft ist. Der Internet Explorer öffnet JNLP-Dateien automatisch, andere Browser fragen per Dialog nach, ob die Datei geöffnet oder gespeichert werden soll.
Sun hat den Fehler in J2SE 1.4.2_07 behoben. Alternativ können Anwender ihr System auch gleich auf J2SE 5.0 Update 2 heben. In vielen Web-Start-Installationen ist die automatische Aktualisierung aktiv, hier genügt es, dem Update zuzustimmen. Als Workaround schlägt der Hersteller vor, den Start von Java-Web-Start-Anwendungen durch den Browser zu deaktivieren. Ein Anleitung dazu hat Sun in seinem Advisory veröffentlicht. Da sich die Anwendungen auch über die Kommandozeile starten lassen, empfiehlt Sun zusätzlich, den Launcher (javaws.exe unter Windows und javaws unter Solaris und Linux) umzubenennen, um den unerwünschten Aufruf zu verhindern.
Siehe dazu auch: (dab)
- Security Vulnerability With Java Web Start Warnung von Sun
- Java Web Start argument injection vulnerability Fehlerbeschreibung von Jouko Pynnönen
