Microsofts Java-Implementierung angeblich löchrig

Das finnische Sicherheitsunternehmen Online Solutions hat nach eigenen Angaben über zehn Fehler in Microsofts Java Virtual Machine entdeckt, die es Angreifern ermöglichen könnten, dem Internet Explorer und Outlook Express fremden Code unterzujubeln und auf lokale Dateien zuzugreifen.

Security Online habe Microsoft auf die Probleme aufmerksam gemacht, berichtet das Unternehmen auf seiner Website; eine konkrete Beschreibung der einzelnen Fehler sucht man jedoch vergeblich. Der Leser erfährt lediglich, dass die gefundenen Probleme auf Methodenaufrufe über das Java Native Interface zurückzuführen sind, mit dem die Klassen der Java-Bibliotheken auf Funktionen des Betriebssystems zugreifen. Die von Microsoft gelieferten Bibliotheken seien an manchen Stellen nicht ausreichend abgesichert, sodass ein bösartiges Applet die Einschränkungen der Sandbox umgehen könne.

Mit diesen dürftigen Informationen lässt sich jedoch kaum beurteilen, wie gefährlich die Bugs wirklich sind. Ein auf der Website eingebundenes Applet gibt lediglich eine allgemeine Warnung aus, wenn es mit der Microsoft-VM ausgeführt wird. Die Finnen raten dazu, das Microsoft-Java im Internet Explorer und Outlook abzuschalten, bis ein Patch zur Verfügung steht. Suns Java-Plug-in sei nicht anfällig für die entdeckten Fehler. (kav)