Sicherheitsloch in Java betrifft Microsoft und Sun (Update)

Wer mit einem mit der Java Virtual Machine ausgestatteten Browser über einen Proxy surft, läuft Gefahr, dass seine Datenübertragung von einem Angreifer umgeleitet und manipuliert werden könnte. Ein neu entdecktes Sicherheitsloch ermöglicht es bösartigen Java-Applets auf diese Weise, nicht verschlüsselte Benutzerdaten auszuspähen. Anwender, die ohne einen Proxy auf das Internet zugreifen, sind laut Microsoft nicht betroffen.

Gefährdet sind alle Microsoft-Virtual-Machines der Build-Nummern 3802 und darunter, die mit dem Windows Internet Explorer 4.x und 5.x ausgeliefert wurden. Die Build-Nummer des installierten Microsoft-Java lässt sich durch Eingabe des Befehls jview auf der Kommandozeile in Erfahrung bringen.

Aber auch Anwender der Java-Implementierung von Sun können sich nicht in Sicherheit wiegen, warnt ein von Sun veröffentlichtes Security-Bulletin. Betroffen sind hier alle älteren Versionen bis zum JDK 1.3.0, inklusive der Linux- und Solaris-Ausgaben. Diese fehlerhaften VMs sind Bestandteil aller Netscape-Browser, einschließlich der Version 6.1. Für alle Releases, auch die älteren Ausgaben 1.1.8 und 1.2.2, stellt Sun fehlerbereinigte Versionen zur Verfügung. Die aktuellen Java-Ausgaben 1.3.1 und 1.4 sind von dem Problem nicht betroffen, diese können auch als Ersatz für die fehlerhafte Microsoft-VM dienen.

Microsoft stuft dieses Problem als kritisch ein und bietet auf seiner Website ebenfalls eine fehlerbereinigte Version seiner auf dem JDK 1.1.8 basierenden VM zum Download an. (kav)