Sicherheitsloch in Java Web Start
Mit Java Web Start ist es Anwendern möglich, Applikationen mit einem Klick aus dem Browser heraus zu starten; Sun bestätigt nun eine Sicherheitslücke über speziell präparierte Bibliotheken.
Sun bestätigt eine Sicherheitslücke in Java Web Start, über die mit speziell präparierten Bibliotheken beliebige Programme auf Client-Rechnern gestartet werden können.
Mit Java Web Start ist es Anwendern möglich, Applikationen mit einem Klick aus dem Browser heraus zu starten. Die Programme haben volle Rechte auf das lokale System, aber der Anwender wird gefragt, ob er dies erlauben will. Anschließend können diese Applikationen über das Java Network Launcher Protocol (JNLP) Bibliotheken einbinden. Haben einzubindende Bibliotheken Lese- oder Schreibrechte für das lokale System, wird der Anwender gewarnt, ob er dies zulassen möchte. Wird allerdings eine Bibliothek installiert, die über keine Rechte verfügt (also auf dem Rechner des Anwenders weder lesen noch schreiben darf), erhält der Anwender keinen Hinweis dazu.
Das Problem besteht nun darin, dass die Bibliothek auf dem Server nachträglich so geändert werden kann, dass sie über alle Rechte verfügt. Sobald der Anwender dann die Java-Applikation ausführt, bindet JNLP die Bibliothek mit vollen Rechten ein, ohne dass der Anwender eine Warnung oder einen Hinweis erhält. Auf diese Weise könnten Trojanische Pferde in das System eingeschleust werden.
Markus Karg entdeckte den Fehler und informierte Sun; bis dato gibt es keinen Patch für das Problem. Der Hersteller reproduzierte das Problem auf einem Windows-XP-System; andere Plattformen sind aber wahrscheinlich ebenso anfällig. Einziger von Sun empfohlener Workaround ist, Java Web Start 1.4.2_02 nicht zu verwenden. (pab)
