Schwere Sicherheitslücke im Java-Plug-In aufgetaucht

Durch eine Sicherheitslücke in Suns Java-Plug-In gilt der Slogan „Write once, run everywhere“ jetzt offenbar auch für Viren. Normalerweise laufen Java-Programme aus Sicherheitsgründen in einer Sandbox. Die Lücke ermöglicht es schädlichem Java Script-Code jedoch, auf Funktionen außerhalb dieser Grenze zuzugreifen und beliebige Aktionen auf einem Rechner auszuführen. Betroffen sind die Versionen 1.4.2_04 und 1.4.2_05 des Plug-In. In Version 1.4.2_06 wurde die Lücke geschlossen.

Ist das schadhafte Programm installiert, sind Browser wie Internet Explorer und Firefox sowohl unter Windows als auch unter Unix angreifbar. „Derselbe Exploit könnte für verschiedene Betriebssysteme und Browser genutzt werden, was die Sache sehr ernst macht“, so der finnische Sicherheitsexperte Jouko Pynnonen, der die Schwachstelle nach eigenen Angaben bereits im April an Sun gemeldet hat. Der Besuch auf einer Website mit einem entsprechend manipulierten Skript reicht zur Infektion eines Systems aus. Weitere Interaktionen des Anwenders sind nicht nötig.

Ein Angreifer kann durch ein manipuliertes Java Script sämtliche Aktionen ausführen, die normalerweise nur der PC-Anwender selbst durchführen sollte: Dateien modifizieren, Programme installieren, oder Daten versenden. Die Lücke „konnte mit Leichtigkeit zur Verbreitung von Viren und Malware“ genutzt werden“, warnt Pynnonen. Sun wollte sich zwar nicht zu möglichen Auswirkungen des Problems äußern, sagte jedoch, dass man an der Distribution des Patchs hart gearbeitet habe. Anwender der betroffenen Software sollten sich so schnell wie möglich die Version 1.4.2_06 des Java-Plug-In von der Sun-Homepage herunterladen.