Wednesday, September 13, 2006

WinFuture.de - Kritische L�cke in Suns Java Web Start

WinFuture.de - Kritische L�cke in Suns Java Web Start: "Kritische L�cke in Suns Java Web Start
von blizzard f�r WinFuture.de
Es ist nun bekannt geworden, dass sich in Sun Java Web Start eine kritische L�cke befindet und somit die Sicherheit Ihres Computers gef�hrdet wird. Durch diese Schwachstelle ist es Sch�dlingen m�glich ihr System zu infizieren, sobald Sie eine pr�parierte Internetseite besuchen. Die Web Start Technologie macht es m�glich Java Anwendungen schneller und leichter �ber einen Webserver zu verteilen damit Sie �ber ihren Webbrowser aufgerufen werden k�nnen.

Durch diesen Fehler im Web Start Launcher ist es Java Anwendungen m�glich, Zugriffsrechte auf Ihrem Computer zu erh�hen, installierte Programme zu starten und sich Schreib- und Leserechte zu erteilen. Die Sandbox ist normalerweise daf�r zust�ndig, um solche nicht autorisierten Zugriffe auf Ihren Pc zu verhindern. Durch die genannte L�cke ist es aber einem potenziellen Angreifer m�glich mit Hilfe manipulierter JNLP Dateien, eigene Kommandos an die Java Virtual Machine zu geben und damit die Sandbox abzuschalten.

Die Betriebssysteme Solaris, Windows und Linux in allen Versionen 1.4.2 der Java 2 Platform Standard Edition (J2SE) bis einschlie�lich 1.4.2_06 sind von diesem Fehler betroffen. Von diesem Fehler sind J2SE 5.0 und J2SE vor Version 1.4.2 nicht betroffen. Dieser Fehler tritt ausschlie�lich bei den Webbrowsern Firefox, Internet Explorer und Mozilla auf, jedoch nicht beim Opere Browser, da dieser von Hause aus nicht mit JNLP Dateien verkn�pft wird.

Die Software Entwickler haben den Fehler erkannt und in der neuen Version J2SE 1.4.2_07 beseitigt. Ebenso besteht die M�glichkeit, dass Anwender ihr System gleich auf J2SE 5.0 Update 2 aktualisieren. Bei den meisten Web Start Installationen ist das Auto Update aktiv, hier wird nur die Zustimmung des Updates ben�tigt. Falls Sie das Update nicht installieren wollen empfehlen die Hersteller, den Start von Java Web Start Anwendungen durch Ihren Browser zu deaktivieren. Au�erdem r�t Sun dazu, dies auch noch mal manuell abzuschalten, da sich die Anwendungen auch �ber die Kommandozeile starten lassen. Hierzu soll der Launcher (javaws.exe unter Windows und javaws unter Solaris und Linux) umbenannt werden. Eine genaue Anleitung hierzu finden Sie aber auch unter dem angebenden Link. "

No comments: