Schwere Sicherheitslücke im Java-Plug-In aufgetaucht

Zahlreiche Betriebssysteme und Browser betroffen

Durch eine Sicherheitslücke in Suns Java-Plug-In gilt der Slogan „Write once, run everywhere“ jetzt offenbar auch für Viren. Normalerweise laufen Java-Programme aus Sicherheitsgründen in einer Sandbox. Die Lücke ermöglicht es schädlichem Java Script-Code jedoch, auf Funktionen außerhalb dieser Grenze zuzugreifen und beliebige Aktionen auf einem Rechner auszuführen. Betroffen sind die Versionen 1.4.2_04 und 1.4.2_05 des Plug-In. In Version 1.4.2_06 wurde die Lücke geschlossen.

Ist das schadhafte Programm installiert, sind Browser wie Internet Explorer und Firefox sowohl unter Windows als auch unter Unix angreifbar. „Derselbe Exploit könnte für verschiedene Betriebssysteme und Browser genutzt werden, was die Sache sehr ernst macht“, so der finnische Sicherheitsexperte Jouko Pynnonen, der die Schwachstelle nach eigenen Angaben bereits im April an Sun gemeldet hat. Der Besuch auf einer Website mit einem entsprechend manipulierten Skript reicht zur Infektion eines Systems aus. Weitere Interaktionen des Anwenders sind nicht nötig.

Ein Angreifer kann durch ein manipuliertes Java Script sämtliche Aktionen ausführen, die normalerweise nur der PC-Anwender selbst durchführen sollte: Dateien modifizieren, Programme installieren, oder Daten versenden. Die Lücke „konnte mit Leichtigkeit zur Verbreitung von Viren und Malware“ genutzt werden“, warnt Pynnonen. Sun wollte sich zwar nicht zu möglichen Auswirkungen des Problems äußern, sagte jedoch, dass man an der Distribution des Patchs hart gearbeitet habe. Anwender der betroffenen Software sollten sich so schnell wie möglich die Version 1.4.2_06 des Java-Plug-In von der Sun-Homepage herunterladen.

Themenseiten: Software, Sun Microsystems

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

5 Kommentare zu Schwere Sicherheitslücke im Java-Plug-In aufgetaucht

Kommentar hinzufügen
  • Am 24. November 2004 um 14:51 von cryogen

    Java Script ist unglücklich ausgedrückt
    Hi,

    die Formulierung Java Script ist unglücklich gewählt, da es sich korrekt um ein Java Applet, bzw. ein Java Programm handelt und nicht um Java Script.

    MfG, cryogen

    • Am 24. November 2004 um 19:06 von Fritz

      AW: Java Script ist unglücklich ausgedrückt
      In einem finnischen Namen kann auch nicht y und o gleichzeitig vorkommen. Der ganze Artikel ist schlampig recherchiert und schlampig formuliert.

  • Am 25. November 2004 um 8:24 von PCLissy

    Ja wo sind sie denn?
    Na wo sind die ganzen MS-Hasser und Open-Source Freaks, die sich sonst an dieser Stelle künstlich aufregen und Windows schlecht machen???
    DAS hier ist mal ne Lücke für die MS nix kann und schon herrscht Schweigen im Wald…

    • Am 26. November 2004 um 1:36 von das war dumm

      AW: Ja wo sind sie denn?
      Toll ist, daß die Sicherheitslücke schon mit dem Index _06 schon wieder geschlossen wurde!
      Eine Lücke bei Java… die Lisa glücklich macht!

      MS IExx und OExx haben wieviele Lücken hinter sich?, und wieviele sind ungelöst?, und für wieviele gibt es keine Lösung?

      Überlegen, bevor man so einen Senf schreibt.

      p.s. Auf Hotmail sollte man wegen der vielen Coockies auch nicht gehen!

    • Am 27. November 2004 um 20:19 von JohnnyO

      AW: Ja wo sind sie denn?
      Hi
      Willste jetz MS schützen oder wie MS ist und bleibt ein Problemfall in der computerwelt das kannst DU mit deinen schlauen möchtegern sprüchen nich ändern.

      P.S.Wer Rechtschreibfehler etc findet kann sie behalten :-)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *