Gravierende Lücke bei Java gefährdet zahlreiche Betriebssysteme

Obwohl das Problem erst kürzlich bekannt gegeben wurde, wusste Sun offenbar seit elf Monaten von dem Fehler im Code der Java Runtime-Umgebung, der es Eindringlingen ermöglicht, durch Umleitung des Web-Datenverkehrs Zugriff auf sensible Daten zu erhalten.

Gefährdungspotential: bedenklich
Microsoft wies darauf hin, dass dieses Problem eine Gefahr für jeden Internet-Benutzer bedeute, der sich über einen Proxy-Server einwähle. Von einem externen Server kann mit Hilfe eines feindlichen Java-Applets die HTTP-Verbindung des Benutzers zum Proxy-Server gekidnappt werden. Es scheint geradezu ironisch, dass aufgrund des Programmfehlers ausgerechnet die zur Erhöhung der Sicherheit eingesetzten Proxy-Server von Angreifern zur Umleitung von Web-Datenverkehr an andere Adressen benutzt werden können.

In Gefahr: alle HTTP-Proxy-Server
Microsoft brachte als erster Hersteller ein Sicherheitspatch (MS02-013) für dieses Problem heraus, wobei die Gefahr jedoch nicht nur die Benutzer des Internet Explorers betrifft. Die Schwachstelle ist auch im Netscape Navigator und auf Sun-Plattformen vorhanden. Das entsprechende Security-Bulletin HttpURLConnection von Sun trägt die Nummer 00216. Mitre behandelt das Problem in seinem Bericht CAN-2002-0058. Um es noch einmal zu wiederholen: alle Systeme mit einem HTTP-Proxy-Server könnten angegriffen werden.

Laut Sun Microsystems enthalten der Netscape Navigator Version 6.1, 6.0.1 und 6.0 sowie der Netscape Communicator bis einschließlich Version 4.79 den fehlerhaften Java-Code. Die Virtual Machines von Microsoft bis Build 3802 sind ausnahmslos betroffen.

Sun gab bekannt, dass vor allem die folgenden Produkte betroffen sind:

Microsoft Windows
• SDK und JRE 1.3.0_02 oder früher
• SDK und JRE 1.2.2_010 oder früher
• JDK und JRE 1.1.8_007 oder früher

Solaris-Betriebssystemversionen
• SDK und JRE 1.2.2_010 oder früher
• JDK und JRE 1.1.8_007 oder früher

Solaris-Produktionsversionen
• SDK und JRE 1.3.0_02 oder früher
• SDK und JRE 1.2.2_10 oder früher
• JDK und JRE 1.1.8_13 oder früher

Linux-Produktionsversionen
• SDK und JRE 1.3.0_02 oder früher
• SDK und JRE 1.2.2_010 oder früher

Die Schwachstelle tritt nicht auf bei Java 2 SDK, Standard Edition, Version 1.4 und 1.3.1.

Korrekturmaßnahmen: sofortiges Update der Java VM
Microsoft empfiehlt das Update auf Microsoft VM build 3805. Netscape teilte mit, dass Netscape 6.2 und 6.2.1 nicht betroffen sind, rät Benutzern früherer Versionen jedoch zu einem Update mit der neuesten Version der Sun JVM.

Sun empfiehlt Benutzern der oben genannten Java-Versionen Updates mit den folgenden Softwareversionen.

Microsoft Windows
• SDK und JRE 1.4
• SDK und JRE 1.3.1_02
• SDK und JRE 1.2.2_011
• JDK und JRE 1.1.8_009

Solaris-Betriebssystem-Referenzversionen
• SDK und JRE 1.2.2_011
• JDK und JRE 1.1.8_009

Solaris-Produktionsversionen
• SDK und JRE 1.4
• SDK und JRE 1.3.1_02
• SDK und JRE 1.2.2_11
• JDK und JRE 1.1.8_15

Linux-Produktionsversionen
• SDK und JRE 1.4
• SDK und JRE 1.3.1_02
• SDK und JRE 1.2.2_011

Langsame Reaktion: Sun im Hintertreffen
Sowohl Sun als auch Microsoft äußerten gegenüber dem niederländischen Sicherheitsexperten Harmen van der Wal ihren ausdrücklichen Dank dafür, dass er sie auf diese Schwachstelle aufmerksam gemacht hat. Laut einem Bericht von Newsbyte gab van der Wal jedoch an, dass Sun bereits fast ein ganzes Jahr um diese gefährliche Schwachstelle wusste, bevor eine Korrekturversion auf den Markt gebracht wurde. Obwohl van der Wal Sun für diese Sicherheitsbemühungen dankte, kritisierte er dennoch die um elf Monate verspätete Reaktion. Das Sun-Bulletin wurde erst am 4. März 2002 veröffentlicht, van der Wal hatte jedoch bereits am 7. April 2001 auf die Problematik hingewiesen. Er berichtete, dass Sun das Vorhandensein der Schwachstelle zu jenem Zeitpunkt bestätigt habe.

In einem Bulletin zu der Schwachstelle erklärte van der Wal, dass er in den nächsten drei Monaten keine genauen Angaben darüber machen werde, wie diese Schwachstelle auszunutzen sei, um Hackern keine möglichen Ansatzpunkte zu liefern. Er fügte jedoch hinzu: „Die Kunden sollten sich nicht darauf verlassen, dass die zu diesem Zeitpunkt nicht erfolgte Bekanntgabe von Details zu der Schwachstelle die Entwicklung von räuberischen Programmen verhindern wird“.