Sicherheitslücke in Microsofts Java Virtual Machine
Microsoft korrigiert ein Leck in der hauseigenen Java Virtual Machine, durch das Angreifer beliebigen Code auf dem lokalen System ausführen können.
In der Java Virtual Machine von Microsoft ist ein Sicherheitsleck entdeckt worden, durch das Angreifer beliebigen Code auf dem lokalen System ausführen können. Der Fehler liegt im Byte Code Verifier der VM, der eine spezielle ungültige Code-Sequenz nicht korrekt überprüft, wodurch aber auch alle möglicherweise folgenden Sicherheits-Checks in der VM ausgehebelt werden. Ein Angreifer kann auf einer Web-Seite nun ein Java-Applet einbauen, das diese Code-Sequenz enthält; besucht ein Surfer diese Seite oder wird sie ihm per E-Mail untergejubelt, kann der Angreifer Code mit den Rechten des lokal angemeldeten Users auf dem System ausführen lassen.
Microsoft stuft das Leck in einem Advisory als kritisch ein; betroffen seien alle Windows-Versionen von Windows 95 angefangen bis hin zu Windows XP, da bei diesen Versionen die Microsoft-VM installiert sei. Außerdem wurde die Microsoft-VM mit einigen Versionen des Internet Explorer ausgeliefert. Microsoft gibt in dem Advisory Anleitungen, wie man durch jview herausbekommen kann, welche Version der Microsoft-VM installiert ist.
Der Software-Konzern hat bereits eine aktualisierte Version der Virtual Machine herausgegeben; der Build 3810 enthält eine Korrektur für das neue Leck sowie alle bislang verfügbaren Bug-Fixes für Microsofts Virtual Machine. Die neue VM ist über Windows Update zu bekommen; Nutzer von Windows 2000 mit Service-Pack 2 oder 3 müssen sich einen gesonderten Patch besorgen.
Um die Java-Unterstützung in Windows führt Microsoft gerade eine juristische Auseinandersetzung mit Sun. Diese geht auf langwierige Streitigkeiten darüber zurück, ob Microsoft die Java-Implementierung mit eigenen, betriebssystemspezifischen Erweiterungen ausbauen darf und welche Implementation der Virtual Machine Microsoft in Zukunft mit Windows oder dem Internet Explorer ausliefert. Microsofts VM befindet sich eigentlich nicht mehr auf dem aktuellen Stand der Java-Entwicklung; Sun bietet eine eigene Java Virtual Machine für Windows an. Microsoft propagiert statt Java mit .NET, C# und der Common Language Infrastructure seine eigenen Visionen einer Programmier- und Laufzeitumgebung für Web-Anwendungen und Internet-fähige Applikationen.
Parallel zum Patch für die Java-VM hat Microsoft auch ein Problem in den Winsock Proxy Services (Proxy Server 2.0) und in der Firewall-Komponente des Internet Security and Acceleration Server 2000 (ISA) korrigiert. Der Bug ermöglichte eine Denial-of-Service-Attacke. (jk)
