Im Java Deploy­ment Tool­kit (JDT) ist unter Win­dows eine Sicher­heits­lü­cke auf­ge­deckt wor­den, durch die prä­pa­rier­te Web­sei­ten belie­bi­ge Anwen­dun­gen auf einem Win­dows-PC star­ten kön­nen. Mög­lich wäre bei­spiels­wei­se, per FTP einen Tro­ja­ner nach­zu­la­den und zu star­ten. JDT ist seit Java 6 Update 10 im Lie­fer­um­fang von Java ent­hal­ten und soll Ent­wick­lern das Ver­tei­len von Anwen­dun­gen erleich­tern. Das Pro­blem beru­he auf der man­geln­den Fil­te­rung von URLs, durch die sich belie­bi­ge Para­me­ter an das zugrun­de lie­gen­de Java Web Start (JWS) über­ge­ben las­sen.

Tavis Orman­dy, der die Sicher­heits­lü­cke ent­deckt hat, hat Sun (jetzt Ora­cle) nach eige­nen Anga­ben über das Pro­blem infor­miert. Laut sei­nem Bericht fand der Her­stel­ler die Schwach­stel­le jedoch nicht kri­tisch genug, um einen Not­fall-Patch außer­halb des drei­mo­na­ti­gen Patch-Zyklus zu ver­öf­fent­li­chen.

Wei­te­re hilf­rei­che Hin­wei­se gibt es hier:

http://support.microsoft.com/kb/240797

Tags: Java, windows

Dieser Eintrag wurde am 10. April 2010 um 22:19 von Öffentlichkeitsarbeit veröffentlicht und ist in der Kategorie CERT zu finden. Sie können die Kommentare durch den RSS 2.0 Feed verfolgen. Sowohl Kommentare, wie auch Pingbacks sind derzeit deaktiviert.