Sicherheitsloch in Apples Java

Auch in der Macintosh Runtime for Java 1.5 (MRJ) ist jetzt ein Sicherheitloch entdeckt worden. Eine neue Technologie namens JDirect erlaubt von Java aus per MRJ den Zugriff auf die Toolbox-Routinen des MacOS. Dabei haben die Entwickler übersehen, daß dies mit Applets nicht möglich sein darf. Lediglich in Java geschriebene Programme dürfen unbeschränkten Zugriff erhalten. Applets, die von dieser Lücke Gebrauch machen, können beispielsweise ungehindert Dateien löschen oder den Rechner zum Absturz bringen.

Betroffen von dieser Sicherheitslücke dürften vergleichsweise wenige Anwender sein. Nur Apples CyberDog bezieht seine Java-Fähigkeiten ausschließlich von MRJ, während die Internet Explorer 3 und 4 von Microsoft MRJ nur optional einsetzen. Der Navigator von Netscape nutzt eine eigene Java-Runtime; unerlaubte Toolbox-Zugriffe blockt diese korrekt ab. MRJ 1.5 war nur über das Internet zu beziehen und gehört auch beim neuesten MacOS 8 nicht zum Lieferumfang.

Benutzer des Internet Explorer sollten im Dialog "Optionen..." die Microsoft VM als Java-VM (Virtuelle Maschine) einstellen. Ein "Downgrade" auf MRJ 1.02 hilft auch CyberDog-Benutzern, denen sonst nur die komplette Deaktivierung der Java-Funktionalität bleibt.

Apple hat MRJ 1.5 von seiner Java-Web-Site genommen. Dort sollen ein Patch und eine korrigierte Version veröffentlicht werden. (adb)