Java Virtual Machine hat ein Loch in der Quarantäne-Station

Sicherheitsexperten warnen vor einer Lücke in der Java Virtual Machine (JVM) von Sun Microsystems. Über die Schwachstelle können Cracker Zugang zu lokalen Daten erhalten. Das Sicherheitsunternehmen iDefense erklärte, der Fehler in der JVM trete in bestimmten Versionen der Java 2 Standard Edition (J2SE) im Zusammenhang mit den Browsern Internet Explorer, Mozilla oder Firefox auf.Die JVM erlaubt, dass Java-Code von den Browsern auf allen Betriebssystemen unterstützt wird. Normalerweise verhindert das Programm, dass Applets ohne Berechtigung auf lokale Daten zugreifen können. Diese werden in der so genannten Sandbox vorgehalten, eine Quarantänestation, in der Anwendungen auf ihre Sicherheit überprüft werden, bevor sie das Unternehmensnetz nutzen. Eigentlich sollen die Nutzer über ein Formular ein Online-Zertifikat ausfüllen, indem sie vertrauenswürdige Inhalte bestätigen.

“Normalerweise sollte man nicht in der Lage sein, auf irgendetwas außerhalb der Sandbox zuzugreifen, aber dieser Fehler erlaubt genau das”, erklärte Michael Sutton, Director von iDefense gegenüber US-Medien. Der Exploit selbst hingegen sei trivial und nicht sehr detailreich, so Sutton weiter. Der Fehler tritt in der Version 1.4.2 des J2ST Java Runtime Environment (JRE) nicht mehr auf. Alternativ zum Upgrade könne der Fehler auch behoben werden, indem entweder Java oder Java Script ausgeschaltet oder Produkte anderer Hersteller verwendet würden.