Java-Sicherheitsleck entdeckt

Eine Sicherheitslücke im Java Deployment Toolkit ermöglicht es, über speziell präparierte Webseiten beliebige Anwendungen auf einem Windows-Rechner auszuführen.
12. April 2010

     

Die im Java Deployment Kit (JDT) entdeckte Schwachstelle ermöglicht es einem potentiellen Angreifer, über manipulierte Links zusätzliche Parameter an Java Web Start zu übergeben. So soll sich weiterer Java-Code nachladen und die Java-VM dazu bewegen lassen, lokale Anwendungen zu starten. Tavis Ormandy, der das Leck entdeckt hat, macht die minimale Validierung der URL-Parameter für das Leck verantwortlich. Dazu hat er einen Demo-Exploit veröffentlicht, der vorführt, wie sich über die Schwachstelle der Windows-Taschenrechner starten lässt. Laut Ormandy sind alle Versionen seit Java 6 Update 10 von der Schwachstelle betroffen.


Wie er ausserdem bemerkt, hat er Sun (bzw. Oracle) über das Problem informiert, doch wird die Sicherheitslücke da als nicht allzu kritisch beurteilt, weshalb man auf die Veröffentlichung eines Patches ausserhalb des regulären Update-Zyklus‘ verzichten wolle.

(rd)


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Wieviele Fliegen erledigte das tapfere Schneiderlein auf einen Streich?
GOLD SPONSOREN
SPONSOREN & PARTNER