Sicherheitslücke im Internet Explorer 5 für Mac

Die aktuelle Version des Internet Explorer für den Macintosh weist eine Sicherheitslücke bei der Java-Anbindung auf. Der Web-Browser erlaubt einem Java-Applet, Internet-Verbindungen zu einem beliebigen Server aufzubauen, nicht nur zu demjenigen, von dem es geladen wurden. Dies stellt einen eindeutigen Verstoß gegen das Java-Sicherheitsmodell dar. Ben Mesander hat das Problem auf seiner Web-Site dokumentiert. Neugierige Java-Progrämmchen könnten diese Sicherheitslücke dazu benutzen, um beispielsweise das Surf-Verhalten eines Anwenders zu verfolgen oder Eingaben auf einer Web-Seite mitzuprotokollieren.

Der Fehler liegt offenbar nicht in Apples Macintosh Runtime for Java (MRJ), sondern in Microsofts Integration der Java-Umgebung in den Browser. So erkennt der Web-Browser iCab mit derselben Java-Umgebung den unerlaubten Verbindungsaufbau und unterbindet ihn erfolgreich. Mit dem Internet Explorer 4.5 für den Macintosh und den Versionen 5 und 5.5 Beta für Windows tritt das Problem nicht auf. Der Netscape Communicator ist in den Versionen 4.6 und 4.7 ebenfalls nicht betroffen.

Wer auf Nummer Sicher gehen will, muss Java im Dialog "Optionen" abschalten. Es hilft nicht, lediglich die Sicherheitsstufe im Bereich "Sicherheitszonen" auf "hoch" zu setzen oder den Netzwerkzugriff für Applets zu sperren. (adb)