Wieder Java-Sicherheitsloch

Während Netscape-Anwender noch auf die Freigabe des letzten Security-Fix für JavaScript warten, gibt es schon wieder ein neues Java-Loch zu vermelden: Ben Mesander demonstriert auf http://neurosis.hungry.com/~ben/msie_bug/ wie ein Java-Applet eine Netzwer

In Pocket speichern vorlesen Druckansicht
Lesezeit: 2 Min.
Von
  • Norbert Luckhardt

Während Netscape-Anwender noch auf die Freigabe des letzten Security-Fix für JavaScript warten, gibt es schon wieder ein neues Java-Loch zu vermelden: Ben Mesander demonstriert auf http://neurosis.hungry.com/~ben/msie_bug/ wie ein Java-Applet eine Netzwerkverbindung zu einem beliebigen Rechner im Internet öffnet und eine Grafik lädt - ein weiteres Beispiel startet ein Java-Applet von einem fremden Server. Alle Indizien würden dabei den Rechner des unbedarften Surfers als Ursprung des Angriffes ausweisen.

Java-Applets dürfen aus Sicherheitsgründen nur Verbindungen zu dem Server öffnen, von dem sie selbst geladen wurden. Die Demo-Seiten erreichen ihre "fremden" Ziele über den ursprünglichen Server per HTTP-Redirect, der fälschlicherweise in etlichen Java-Implementationen erlaubt wird, statt eine Security-Exception auszulösen. Für diesen Angriff muß die genaue URL bekannt sein. Inwieweit außer Grafiken und Java-Class-Files noch weitere Ziele erreichbar sind, ist derzeit noch unklar. Falls beliebige Netzwerkverbindungen möglich sind, wären die Folgen weitreichend: Eine scheinbar harmlose Java-Animation könnte beispielsweise im Hintergrund versuchen, einen fremden Rechner zu knacken.

Betroffen sind alle Windows-Versionen der Internet Explorer 3.0 und 4.0 sowie unter bestimmten Umständen (Proxy-Einstellungen) auch Netscapes Explorer und Communicator - ad hoc zeigten sich bei c't sowohl eine 3er-Version unter Windows 95 als auch eine Linux-Beta des Communicators hinter einer Firewall/Proxy-Kombination verwundbar. Nach Angaben von Ben Mesander ist überdies HotJava 1.0 unter NT zumindest von der Class-Loader-Attacke bedroht.

Netscape hat die Verwundbarkeit seiner Produkte bislang bestritten und noch keine Informationen auf seinen WWW-Seiten bereitgestellt. Microsoft berichtet unter http://www.microsoft.com/ie/security/javamischief.htm von seinen Bemühungen, die Bugs auszuräumen. Der Zugriff auf die Sicherheits-Leitseite http://www.microsoft.com/ie/security/ ist übrigens derzeit nicht zu empfehlen: Wer sich dort über Sicherheitslücken von Java oder JavaScript informieren möchte, muß paradoxerweise erstmal JavaScript aktivieren. Ansonsten wird er dreist abgespeist:

Because your browser does not support viewing frames and/or scripts, you won’t be able to see all the content we’ve put together for you. If you want to view the newly redesigned Internet Explorer Web Site, download Internet Explorer now. (nl)