Sicherheitslücke im Java-Plugin

  • Meldung bei Heise:

    Zitat

    Durch einen Fehler in Suns Java Plug-ins für Browser können Angreifer mit präparierten Java Applets aus der Sandbox ausbrechen und die Kontrolle über den Rechner erlangen. Nach Angaben des Sicherheitsdienstleisters iDEFENSE liegt das Problem in der Zugriffsbeschränkung beim Datenaustausch zwischen Java und Javascript in Webbrowsern, die Suns Technik einsetzen. Die Schwachstelle erlaubt Javascripts, private Klassen zu laden, auf die eigentlich nur die Virtual Machine Zugriff haben sollte. Auch ein Java Applet darf diese Klassen nur laden, wenn es digital signiert ist und der Anwender den Zugriff erlaubt.


    http://www.heise.de/security/news/meldung/53544

    Gruß
    Werner

  • Hallo Ferkeldieb,
    ja und was muss ich denn da downloaden bzw installieren ?

    JSE v1.4.2 SDK oder
    JSE v1.4.2 JRE ?

    Windows offline installation Multi Language oder
    Windows installation, Multi Language ?

    Die (englische) Dokumentation hilft mir auch nicht weiter

    Bin für jeden Tipp dankbar

  • Du brauchst die JSE v1.4.2 JRE.

    Der Unterschied zwischen Windows offline installation Multi Language und
    Windows installation Multi Language ist folgender:

    Die Offline Installation ladet alles herunter, und die Installation wird offline vorgenommen. Alles bedeutet alle Dateien, die für die verschiedenen Windows-Versionen gebraucht werden (also auch Dateien, die eventuell nur für WIN98 gebraucht werden und für XP total überflüssig sind).

    Die zweite Version ladet zuerst nur den Installer herunter. Dieser holt dann nur die für Deine Windows-version benötigten Dateien auf der Webseite ab und installiert sie gleich (weniger Platzverbrauch auf der Festplatte da nur die Dateien genommen werden, die auch wirtklich gebraucht werden).

  • Hallo allerseits. Zwar habe ich dank eurer Hilfe den Java-link gefunden, aber wenn ich die datei mit Firefox 1 downloaden will, wir nur eine Datei mit dem entsprechenden Namen, jedoch mit der Dateigröße 0 erstellt. Worann kanns liegen?

    Gruss erald

  • Und was ist hiermit? Ist das das gleiche???:

    Fehler bei JavaScript-Verarbeitung führt in aktuellen Browsern zum Absturz

    Berend-Jan Wever, Entdecker der IFRAME-Sicherheitslücke im Internet Explorer, hat auf mehreren Sicherheit-Mailinglisten einen Code-Schnipsel veröffentlicht, das den Internet Explorer unter Windows XP mit Service Pack 1 zum Absturz bringt.
    Anzeige

    <HTML>
    <SCRIPT> a = new Array();
    while (1) { (a = new Array(a)).sort();
    } </SCRIPT>
    <SCRIPT> a = new Array();
    while (1) { (a = new Array(a)).sort();
    } </SCRIPT>
    </HTML>

    Die aktuelle Version von Firefox stürzt beim Aufruf ebenfalls ab und öffnet den Quality Feedback Manager, um einen Fehlerbericht an die Entwickler zu senden, Mozilla reagiert ähnlich. Opera 7.54 beendet sich ohne weitere Fehlermeldung. Der Preview-Release von Opera 7.60-3 machte unter Windows das ganze System instabil, indem er einfach den Speicher immer weiter vollschrieb.

    Offenbar begrenzen die JavaScript-Interpreter die weiteren Funktionsaufrufe nicht, wenn kein Platz auf dem Stack mehr vorhanden ist und überschreiben einfach andere Bereiche. Nur unter Windows XP mit Service Pack 2 gibt der Internet Explorer die Fehlermeldung "Stack Overflow at Line:" aus und beendet die Ausführung des Skripts -- ohne selbst abzustürzen. Eine etwas ältere Version (3.2.2 ) des Konquerors wurde bei einem Test in der heise-Security-Redaktion zwar kurzzeitig sehr langsam, bot anschließend aber sogar das Beenden des Skriptes an.

    Dass sich der Fehler zum Einschleusen und Starten von Code ausnutzen lässt, ist äußerst unwahrscheinlich, da man keine Kontrolle über den Stack erhält, um beispielsweise den Inhalt von Registern oder Rücksprungadressen zu manipulieren. Wever hat die Probleme an Microsoft gemeldet, der Patch für den Internet Explorer wäre im weitesten Sinne Service Pack 2 für XP. Das Firefox-Team hat er nicht informiert, ein Eintrag in Bugzilla war ihm nach eigenen Angaben zu umständlich. Für Firefox gibt es noch kein Update. Ob Opera den Fehler in der finalen Version 7.60 beseitigt ist unklar.

    iMac 20", 2.4 GHz, Intel Core 2 Duo, 2 GB 667 MHz

  • Wenn es sich um keine 32bit-anwendung handelt, solltest du es neu herunterladen. denn es ist irgendwas in der datei defekt...

    und wenn ich hier noch einen sehe, der javascript und java in einen topf wirft, ist hier die hölle los, ... k l a r?

  • Zitat von bugcatcher

    und wenn ich hier noch einen sehe, der javascript und java in einen topf wirft, ist hier die hölle los, ... k l a r?


    Topf nehm, JavaScript nehm, Java nehm.
    Java und JavaScript in Topf steck.

    Wahnsinn, warum schickst Du mich in die... *bugcatcher, dein Einsatz*

    Sorry für OT, aber das musste sein.

    Aber ich gebe dir vollkommen recht. Man sollt schon aufpassen, von was man redet...

  • Hallo,
    ich hätte da auch mal ne Frage. Habe Java von Sun runtergeladen und installiert. Ist damit automatisch die Sicherheitslücke gefixt? Oder muss ich noch was einstellen. Wenn ich nämlich unter Systemsteuerung auf java klicke dann kommt ein Fenster in dem ich unter anderem Browser bestimmen kann für die ich das Java verwenden kann. Aufgeführt sind IE, netscape, und mozilla. Wollte dann Mozilla aktivieren, ging aber nicht für den FF.

  • Zitat von bugcatcher

    Wenn es sich um keine 32bit-anwendung handelt, solltest du es neu herunterladen. denn es ist irgendwas in der datei defekt...

    :evil: Auch nach mehrmaligem Runterladen kommt immer diese Nachricht... und nu?

    iMac 20", 2.4 GHz, Intel Core 2 Duo, 2 GB 667 MHz