Microsofts Sandkiste ist undicht

Ein Fehler in Microsofts Java Virtual Machine (VM) erlaubt es Angreifern, die Sicherheitsmechanismen auszuhebeln, die Java-Applets aus dem Internet in ihren Möglichkeiten beschränken (Sandbox). Karsten Sohr von der Universität Marburg hat herausgefunden, dass Microsofts Bytecode-Verifier nicht alle Java-Regeln korrekt umsetzt, sondern bestimmte unzulässige Typumwandlungen erlaubt, die sich durch bösartige Applets missbrauchen lassen.

Dirk Balfanz und Ed Felten von der Princeton University haben nach eigenen Angaben ein Demo-Applet konstruiert, das den Fehler ausnutzt um eine Datei zu löschen; normalerweise ist es Applets verboten, auf die Festplatte zuzugreifen. Aus Sicherheitsgründen wollen die Forscher ihren Code zurückhalten, bis Microsoft den Fehler behoben hat. Betroffen sind anscheinend alle aktuellen Versionen von Microsofts Java VM für Windows. Benutzer der Internet Explorer 4 und 5 sollten daher Java in den Sicherheitsoptionen für die Internet-Zone abschalten und nur ausgewählten vertrauenswürdigen Sites die Ausführung aktiver Inhalte gestatten. (nl)