Java-Sicherheitslücke im Internet Explorer

Georgi Guninski weist in seinem zehnten Bug-Report des Jahres auf eine neuerliche Sicherheitslücke im Internet Explorer (IE) hin. Das Zusammenspiel von Microsofts Java- und JavaScript-Implementierung hebelt das Java-Sicherheitsmodell aus, das an sich jeden Zugriff eines Applets aus dem WWW auf die lokale Festplatte oder auf Daten anderer Browserfenster unterbinden sollte. Aufgrund des Fehlers könnte der Betreiber einer Website Dateien und fremde Cookies ausspionieren oder in die Abläufe anderer Fenster eingreifen, beispielsweise bei der Eingabe von Passwörtern. Guninskis Internetseiten enthalten eine ausführlichere Beschreibung inklusive Demonstration des Angriffs.

Bis ein Patch bereit steht, sollten IE-Anwender das "Scripting von Java-Applets" abschalten. Es genügt in diesem Fall laut Guninski nicht, Active Scripting zu verbieten, da offenbar in der Zone "My Computer" JavaScript immer ausgeführt wird und somit im Zusammenspiel mit Java und der genannten Scripting-Option der Fehler dennoch zum Tragen kommt. Angesichts der immer wieder auftretenden Implementierungsfehler empfiehlt c't, aktive Inhalte (ActiveX, Java und Active Scripting/JavaScript) ständig auszuschalten und nur ausgewählten, vertrauenswürdigen Sites zu gestatten. (nl)