Im Java Deployment Toolkit (JDT) ist unter Windows eine Sicherheitslücke aufgedeckt worden, durch die präparierte Webseiten beliebige Anwendungen auf einem Windows-PC starten können. Möglich wäre beispielsweise, per FTP einen Trojaner nachzuladen und zu starten. JDT ist seit Java 6 Update 10 im Lieferumfang von Java enthalten und soll Entwicklern das Verteilen von Anwendungen erleichtern. Das Problem beruhe auf der mangelnden Filterung von URLs, durch die sich beliebige Parameter an das zugrunde liegende Java Web Start (JWS) übergeben lassen.

Tavis Ormandy, der die Sicherheitslücke entdeckt hat, hat Sun (jetzt Oracle) nach eigenen Angaben über das Problem informiert. Laut seinem Bericht fand der Hersteller die Schwachstelle jedoch nicht kritisch genug, um einen Notfall-Patch außerhalb des dreimonatigen Patch-Zyklus zu veröffentlichen.

Weitere hilfreiche Hinweise gibt es hier:

http://support.microsoft.com/kb/240797

Tags: Java, windows

Dieser Eintrag wurde am 10. April 2010 um 22:19 von Stefan Suhr veröffentlicht und ist in der Kategorie CERT zu finden. Sie können die Kommentare durch den RSS 2.0 Feed verfolgen. Sowohl Kommentare, wie auch Pingbacks sind derzeit deaktiviert.