Wie schon vor­ges­tern berich­tet, kann ein anony­mer Angrei­fer durch eine Schwach­stel­le im “Java Deploy­ment Tool­kit” mit den Rech­ten des Anwen­ders  belie­bi­ge Codes zur Anwen­dung brin­gen.

Unter Fire­fox emp­fiehlt es sich unter “Extras -> Add ons-> Plug­ins” das Plug­in “Java Deploy­ment Tool­kit” zu deak­ti­vie­ren.

Wer den Micro­soft Inter­net Explo­rer nutzt, kann das Kill-bit set­zen. Details fin­den Sie hier:

http://lists.grok.org.uk/pipermail/full-disclosure/2010-April/074036.html

Im Java Deploy­ment Tool­kit (JDT) ist unter Win­dows eine Sicher­heits­lü­cke auf­ge­deckt wor­den, durch die prä­pa­rier­te Web­sei­ten belie­bi­ge Anwen­dun­gen auf einem Win­dows-PC star­ten kön­nen. Mög­lich wäre bei­spiels­wei­se, per FTP einen Tro­ja­ner nach­zu­la­den und zu star­ten. JDT ist seit Java 6 Update 10 im Lie­fer­um­fang von Java ent­hal­ten und soll Ent­wick­lern das Ver­tei­len von Anwen­dun­gen erleich­tern. Das Pro­blem beru­he auf der man­geln­den Fil­te­rung von URLs, durch die sich belie­bi­ge Para­me­ter an das zugrun­de lie­gen­de Java Web Start (JWS) über­ge­ben las­sen.

Tavis Orman­dy, der die Sicher­heits­lü­cke ent­deckt hat, hat Sun (jetzt Ora­cle) nach eige­nen Anga­ben über das Pro­blem infor­miert. Laut sei­nem Bericht fand der Her­stel­ler die Schwach­stel­le jedoch nicht kri­tisch genug, um einen Not­fall-Patch außer­halb des drei­mo­na­ti­gen Patch-Zyklus zu ver­öf­fent­li­chen.

Wei­te­re hilf­rei­che Hin­wei­se gibt es hier:

http://support.microsoft.com/kb/240797