Sicherheitsloch in Microsofts Java

Microsofts Java-Implementierung hat ein Sicherheitsloch, das den Zugriff auf lokale Dateien ermöglicht. Ein Angreifer kann dadurch über ein Java-Applet auf einer WWW-Seite vom PC eines Surfers Dateien lesen, deren Name und Pfad er kennt. Eigentlich sollte das "Sandbox"-Prinzip von Java einem Applet aus dem Web den Zugriff auf den heimischen Rechner verwehren.

Je nach Konfiguration und exakter Java-Version sind möglicherweise nur Teile der Festplatte zugänglich, berichtet Dr. Hiromitsu Takagi, der den Fehler fand, in einer japanischen Java-Mailingliste: beim Internet Explorer 5 sind es beispielsweise nur Files auf dem Desktop und untergeordneten Ordnern, bei der Version 4 jedoch alle Daten auf C:\. Takagi hat ein Demo-Applet mit Source-Code im WWW bereitgestellt.

Wegen der immer wieder auftretenden Sicherheitsmängel empfiehlt c't, aktive Inhalte (Java, JavaScript, ActiveX, usw.) grundsätzlich abzuschalten und nur im Einzelfall vertrauenswürdigen Sites die Ausführung solchen Codes zu erlauben. (nl)