Sicherheitsloch in Apples Java-Runtime
Eine Sicherheitslücke in Apples Implementation der Java-Runtime für das Mac OS lässt sich dazu nutzen, um beliebige Dateien auf dem Rechner eines Surfers auszuspähen.
Eine Sicherheitslücke in Apples Implementation der Java-Runtime für das Mac OS (MRJ) lässt sich dazu nutzen, um beliebige Dateien auf dem Rechner eines Surfers auszuspähen. Die Ursache des Übels liegt in einem Fehler bei der Behandlung der CODEBASE- und ARCHIVE-Attribute von Java-Applets. Ein Angreifer muss noch nicht einmal den Namen der Festplatte kennen, um wichtige Einstellungen lesen und an einen beliebigen Server übertragen zu können.
Betroffen sind alle Browser, die die MRJ von Apple nutzen, also Internet Explorer 4.5 und 5, iCab und die Netscape-Communicator-Versionen 4.76 (nur mit MRJ-Plugin) und 6. Entdeckt hat das Problem der Japaner Hiromitsu Takagi bei der MRJ-Version 2.2.3. Erste Tests in der c't-Redaktion zeigen jedoch, dass auch ältere Versionen davon betroffen sind. Nach eigenen Angaben hat Takagi Apple Japan bereits Ende Oktober von diesem Problem unterrichtet, bisher jedoch noch keine Antwort erhalten.
Um der SicherheitslĂĽcke aus dem Weg zu gehen, hilft zur Zeit nur das Deaktivieren der MRJ oder der Umstieg auf den Netscape Communicator (ohne MRJ-Plugin), dessen Java-Umgebung nicht von dem Problem betroffen zu sein scheint. (adb)
