Java-Bug bedroht Windows und Linux
Eine gestern bekannt gewordene Sicherheitslücke in Suns JAVA-PlugIn-System bedroht Windows- wie Linuxbenutzer gleichermaßen. Die Sicherheitslücke wurde bereits im letzten Monat von Sun gepatcht, die Details dazu aber erst gestern veröffentlicht.
Das Gefährliche an diesem Sicherheitsloch ist, dass es unabhängig vom Betriebssystem und unabhängig vom Browser existiert. Aufgrund einer Schwachstelle im Code ist es Angreifern möglich, über schadhaften Code auf Internetseiten Programme im User-Kontext oder sonstige Dateioperationen auszuführen.
Normalerweise laufen JAVA-Programme in einer Sandbox unabhängig vom Betriebssystem - abgeschottet und somit ungefährlich. JAVA hat seine eigene Sicherheitsrestriktionen und lässt keine Systemzugriffe zu. Hier tat sich nun aber ein kleines Loch auf, über das der Code zum restlichen System durchdringen konnte. Es war möglich, ein PlugIn zu installieren, welches diese Sicherheitschecks vom JAVA-System ausschalten könnte. Egal ab mit Internet-Explorer, Opera oder Firefox, egal ob unter Windows oder Linux, die Lücke ist systemübergreifend und somit doppelt gefährlich.
Auch wenn das Risiko, sein ganzes System zu verlieren gering ist, weil lediglich im User-Kontext agiert werden kann, so ist es trotzdem unangenehm, wenn man auf irgendwelchen zwielichtigen Internetseiten seine privatesten Dateien wiederfindet. Denn genau wie es durch dieses PlugIn möglich ist, Dateien auszulesen oder Programme zu starten, so ist es auch denkbar, dass der Code die Festplatte ausspioniert und Userdateien an einen FTP-Server im Internet sendet.
Warum Sun seit Bekanntwerden der Lücke im April dieses Jahres solange gebraucht hat, um den Fehler zu Beseitigen ist nicht bekannt. Die Aussage von Jonathan Schwartz letzte Woche bei der Bekanntgabe der Details zum neuen Solaris 10, dass JAVA noch keinem einzigen Virus anheim gefallen sei, ist somit zwar nicht obsolet, aber das Sicherheitsempfinden bei JAVA wird nachhaltig geschwächt.
Ob Mac-Nutzer von diesem Problem betroffen sind, konnte Sun noch nicht sagen. Es werde jedenfalls noch geprüft. Eine Abhilfe für diese bei den Versionen 1.4.2_04 und 1.4.2_05 festgestellten Mängel schafft nur die Installation des von Sun bereitgestellten Patches oder der Installation der aktuellsten Version J2SE 1.4.2_06. Bis dahin sollte aus Sicherheitsgründen Java und JavaScript abgeschaltet werden.