Willkommen Gast. Bitte einloggen oder registrieren.
Übersicht Hilfe Suche Einloggen Registrieren

+  BrettspielWelt
|-+  Community
| |-+  Allgemeiner Chat (Moderatoren: campino, Peace)
| | |-+  Sicherheitslücke im Sun Java		 0 Mitglieder und 1 Gast betrachten dieses Thema. « vorheriges nächstes »
Seiten: [1] Nach unten Drucken
Autor Thema: Sicherheitslücke im Sun Java  (Gelesen 182 mal)
Vincinzerei
Zaubermeister
*****
Geschlecht: Männlich
Beiträge: 1649


Logik ist alles!

20404178
Profil anzeigen WWW
« am: 23.11.2004, 15:27:50 »
Durch einen Fehler in Suns Java Plug-ins für Browser können Angreifer mit präparierten Java Applets aus der Sandbox ausbrechen und die Kontrolle über den Rechner erlangen. Nach Angaben des Sicherheitsdienstleisters iDEFENSE liegt das Problem in der Zugriffsbeschränkung beim Datenaustausch zwischen Java und Javascript in Webbrowsern, die Suns Technik einsetzen. Die Schwachstelle erlaubt Javascripts, private Klassen zu laden, auf die eigentlich nur die Virtual Machine Zugriff haben sollte. Auch ein Java Applet darf diese Klassen nur laden, wenn es digital signiert ist und der Anwender den Zugriff erlaubt.  

Nutzt ein Applet diese Lücke aus, kann es sämtliche Restriktionen der Sandbox umgehen und weitere beliebige Dateien auf das System nachladen und im Kontext des angemeldeten Anwenders ausführen. Auch der Netzwerkzugriff ist mit dieser Schwachstelle möglich. Voraussetzung ist allerdings, dass ein Anwender in seinem Browser eine manipulierte Webseite öffnet. iDEFENSE weist in seinem Advisory darauf hin, dass es möglich sei, einen Betriebssystem-übergreifenden Exploit zu programmieren.

Die Fehler findet sich in der Java 2 Platform, Standard Edition (J2SE) in allen Versionen vor 1.4.2_06. Browser wie der Internet Explorer, Mozilla und Firefox sind sowohl unter Windows als auch unter Unix angreifbar, wenn sie eine betroffene Virtual Machine verwenden. Sun hat den Fehler in der per Download verfügbaren J2SE 1.4.2_06 behoben. Alternativ schützt das Abschalten von Java und Javascript vor solchen Angriffen.

Microsofts Virtual Machine ist nicht von dem Problem betroffen.<----- Wundert mich zwar aber ok.. auch ein blindes Huhn..  Wink Grin
Gespeichert
Luck ist, wenn man beim Kotzen ins Klo trifft...    Skill ist, wenn man das mit 1,5 Promille im Stehen schafft...  Cheaten ist, wenn man danach wieder nüchtern ist und die Klobrille glänzt!    
 Durch nichts bezeichnen die Menschen mehr ihren Charakter als durch das, was sie lächerlich finden.  (J. W. v. Goethe)  
"The person who says it cannot be done should not interrupt  the person doing it." Chinese Proverb
Mahjong
BSW-Admin
*****
Geschlecht: Männlich
Beiträge: 712


151244797 Mahjong+KA
Profil anzeigen WWW
« Antworten #1 am: 23.11.2004, 16:19:57 »
Hallo Vince,

wie immer bei deinen Beiträgen fehlt mir eine Quellenangabe und Links, wo man mehr Infos findet Wink

Zitat
Microsofts Virtual Machine ist nicht von dem Problem betroffen.<----- Wundert mich zwar aber ok.. auch ein blindes Huhn..  Wink Grin


Wird wohl daran liegen, dass die Virtual Machine von MS schon "etwas" älter ist, und das ein oder andere Feature noch gar nicht hat.
Gespeichert
"Handle immer nur nach derjenigen Maxime, durch die Du zugleich wollen kannst, daß sie allgemeines Gesetz wird." (Kant)
Act only on the maxim that can at the same time be willed to become a universal law. (Kant)
Was du nicht willst, dass man's dir tut, das füg auch keinem andern zu." (Sprichwort)
Do unto others as you would have others do unto you. (proverb)
eldooderino
Zaubermeister
*****
Geschlecht: Männlich
Beiträge: 1330



Profil anzeigen
« Antworten #2 am: 23.11.2004, 17:02:23 »
Infos gibts u.a. auf www.heise.de

Achja, und obwohl Java-Plugins Opera-Nutzer nicht betreffen, hat auch Opera Sicherheitsprobleme in der Java-Implementierung (wobei das Problem in der neue Version 7.6 behoben werden soll, liegt aber z.Z. nur als Preview vor)...
Gespeichert
Optimism drowned in a half-full tub
Vincinzerei
Zaubermeister
*****
Geschlecht: Männlich
Beiträge: 1649


Logik ist alles!

20404178
Profil anzeigen WWW
« Antworten #3 am: 23.11.2004, 17:23:08 »
Grundsätzlich lassen sich meine Infos leicht nachprüfen da sie nicht nur auf einer news Website stehen

zu sehen auf
www.heise.de
www.securityfocus.com
news.com.com
www.techweb.com

um nur einige zu nennen... dadurch das ich das Hauptberuflich mache, kannst du davon ausgehen das die Nachrichten die ich hier reinschreibe entweder brandaktuell oder aber so sind das mind 800 User das Problem haben

die ~800 User sind aber nicht eine Statistische Größe
da darunter folgende Betriebe fallen:

Voest Alpine
Manga Stahl
T-Mobile Österreich
T-Mobile England
Palfinger Kransysteme
VA Tech
BP
OMV
Interspar
Intersport
Wirtschaftskammer Österreich
Krankenhausgesellschaft Burgenland
Krankenhausgesellschaft Steiermark
A-Trust
Raiffeisen
Bank Austria Creditanstalt
Mc Donalds
und noch ein paar kleinbetriebe.. wie Merzedes und Ford

Also WENN es einen Virus, einen Bug, ein Problem oder sonst irgendwas gibt kann ich mit 100% Wahrscheinlichkeit davon ausgehen das ihn eine ganze gruppe von leuten aus diesen Firmen hat..

nur um das mal gesagt zu haben... Wink
Gespeichert
Luck ist, wenn man beim Kotzen ins Klo trifft...    Skill ist, wenn man das mit 1,5 Promille im Stehen schafft...  Cheaten ist, wenn man danach wieder nüchtern ist und die Klobrille glänzt!    
 Durch nichts bezeichnen die Menschen mehr ihren Charakter als durch das, was sie lächerlich finden.  (J. W. v. Goethe)  
"The person who says it cannot be done should not interrupt  the person doing it." Chinese Proverb
Seiten: [1] Nach oben Drucken 
« vorheriges nächstes »
Gehe zu:  


Einloggen mit Benutzername, Passwort und Sitzungslänge

Powered by MySQL Powered by PHP Powered by SMF 1.1.15 | SMF © 2006-2009, Simple Machines
SMFAds for Free Forums 		Prüfe XHTML 1.0 Prüfe CSS