875318

Sicherheitslücke in Apple's MRJ 2.2.3

20.12.2000 | 00:00 Uhr |

Auf einen schweren Fehler in Apples Mac-OS Runtime for Java hat ein japanischer Programmierer hingewiesen. Die Daten auf der eigenen Festplatte sind beim Surfen nicht sicher.

München/Macwelt - Der Japaner Hiromitsu Takagi weist auf einen groben Fehler in der Sicherheitsstruktur der Mac-OS Runtime für Java (MRJ) 2.2.3 von Apple hin, jene Basissoftware, die Java-Applets und Applikationenen zum Beispiel in den Microsoft-Browser aber auch in Netscape 6 und iCab 2.2 auf den Mac bringt.

Auch in einer früheren Version der Java-Runtime soll dieser Fehler schon vorhanden gewesen sein. Konkret bedeutet der Fehler für den Anwender folgendes Sicherheitsrisiko:

Fremde können Daten von der eigenen Festplatte auslesen, den eigenen

Web-Browser steuern und auf Informationen, die eigentlich nur für das

firmeneigene Intranet bestimmt sind, zugreifen.

Dieser Fehler war schon in Suns Java Development Kit 1.1.4 aufgetreten,

der die Basis für Apples MRJ 2.2.3 darstellt. Sun hatte ihn mit der JDK-Version 1.1.5 kommentarlos beseitigt.

Takagi hat nach eigenen Aussagen Apple schon vor einiger Zeit über die

Sicherheitslücke informiert, bisher aber keine Reaktion aus Cupertino

erhalten. Bis dato hat Apple auch noch kein Update anchgeliefert, welches

dieses Problem behebt.

Nach Ansicht von Takagi handelt es sich bei der Sicherheitslücke um einen

ähnlichen Fehler wie den, den Georgi Guninski im Internet Explorer unter

Windows entdeckt hatte. Guninski hatte im Oktober 1999 in der

Explorer-Version MS00-81 eine Lücke in Verbindung mit Microsofts Virtual

Machine for Java aufgedeckt. Diesen Fehler hat Microsoft im Februar 2000

mit der Version MS00-11 behoben.

Apple bleibt also offenbar nicht nur eine Antwort schuldig, sondern hat

wohl auch bis heute die eigene Software nicht auf den bei dem

Micrsoft-Produkt aufgetretenen Fehler überprüft - dies alles in einer

Zeitspanne von Oktober 1999 bis heute.

Die einzige Möglichkeit, sich momentan vor Zugriffen Fremder zu schützen,

besteht darin, bei den verwendeten Browsern, die Java Option zu

deaktivieren. Ob diese Sicherheitslücke bei der eigenen Systemkombination

besteht, kann man auf der Webseite von Java House-Brewers unter

http://java-house.etl.go.jp/ml/archive/j-h-b/033470.html#body testen. mh

Info: Internet: http://java-house.etl.go.jp/ml/archive/j-h-b/039457.html

0 Kommentare zu diesem Artikel
875318