zurück zum Artikel

Der c't-Browsercheck bietet jetzt einen Test, der das gestern gemeldete Sicherheitproblem in Suns Java-Plugins überprüft.

heise Security hat auf dem c't-Browsercheck [1] einen Test eingebaut, der das gestern gemeldete Sicherheitsproblem [2] in Suns Java-Plugins überprüft. Durch einen Fehler kann JavaScript-Code auf sicherheitsrelevante Methoden eines Java-Applets zugreifen. Damit könnte ein Applet aus der Sandbox ausbrechen und beispielsweise Dateien überschreiben oder lesen und übers Netz versenden.

Sun hat den Fehler zwar in Version 1.4.2_06 beseitigt und stellt diese Version als Java Runtime Environment (JRE) [3] für Windows, Linux und Solaris zum Download bereit. Doch unglücklicherweise sind auf diversen Sun-Seiten -- unter anderem der deutschen Download-Seite [4] -- noch ältere Versionen verlinkt, die den Fehler noch enthalten. Die JRE 1.5 -- auch als Standard Edition 5.0 [5] bezeichnet -- ist nicht von dem Problem betroffen.

Das unter Linux sehr beliebte Java der Blackdown-Gruppe [6] wies den Fehler ebenfalls auf. Die Entwickler haben ihn in Version 1.4.2_01 behoben und ein eigenes Advisory [7] veröffentlicht. Unerfahrene Linux-Anwender sollten jedoch besser warten, bis ihr Distributor aktualisierte Java-Pakete bereitstellt.

Der Test auf dem Browsercheck versucht, via JavaScript eine harmlose, aber eigentlich gesperrte Methode eines aktiven Java-Applets anzusprechen. Gelingt dies, ist das Java-Plugin verwundbar und der Test liefert eine dementsprechende Meldung.

Update:
Opera verwendet eine grundsätzlich andere Methode, um JavaScript und Java zu verbinden. Deshalb liefert der Test unter Opera unter Umständen falsche Ergebnisse. Allerdings lässt sich der Fehler laut Jouko Pynnonen [8] auch mit Opera ausnutzen. Siehe dazu auch: Java-Implementierung in Opera lückenhaft [9]. (ju [10])

• Java-Test [11] auf dem c't-Browsercheck

URL dieses Artikels:
https://www.heise.de/-117322

Links in diesem Artikel:
[1] http://www.heise.de/security/dienste/browsercheck/
[2] https://www.heise.de/news/Luecke-in-Suns-Java-Plug-ins-gewaehrt-Zugriff-auf-das-System-117066.html
[3] http://java.sun.com/j2se/1.4.2/download.html
[4] http://www.java.com:80/de/download/manual.jsp
[5] http://java.sun.com/j2se/1.5.0/download.jsp
[6] http://www.blackdown.org
[7] http://www.blackdown.org/java-linux/java2-status/security/Blackdown-SA-2004-01.txt
[8] http://www.derkeiler.com/Mailing-Lists/Full-Disclosure/2004-11/1126.html
[9] https://www.heise.de/news/Java-Implementierung-in-Opera-lueckenhaft-116913.html
[10] mailto:ju@ct.de
[11] http://www.heise.de/security/dienste/browsercheck/tests/java.shtml

Copyright © 2004 Heise Medien