Web

 

Microsoft meldet kritisches Leck in seiner VM

05.03.2002

MÜNCHEN (COMPUTERWOCHE) - In einem aktuellen Security Bulletin weist Microsoft auf ein kritisches Sicherheitsloch in seiner Virtuellen Maschine hin, die unter anderem mit den Windows-Versionen von 98 bis 2000 sowie dem Internet Explorer bis einschließlich Version 5.5 ausgeliefert wurde. Nach dem verlorenen Java-Prozess gegen Sun kamen Windows XP und IE 6 ohne virtuelle Maschine zur Auslieferung, viele Anwender haben die Software aber separat aus dem Netz geladen oder nach Updates weiterhin auf ihrem PC.

Die Software enthält in allen bisherigen Versionen (getestet wurde ab Build 3167) einen Fehler bei der Anforderung von Proxy-Ressourcen. Ein bösartig programmiertes Applet könnte dies vom Surfer unbemerkt zur Umleitung von Web-Traffic auf einen beliebigen Server und auch zum Abgreifen sensibler persönlicher Daten missbrauchen, falls diese nicht mittels SSL verschlüsselt sind. Auf diese Weise angreifbar sind PCs allerdings nur dann, wenn gleichzeitig ein Proxy-Server zum Einsatz kommt (Hinweis: Auch viele Sicherheits-Tools und Internet-Filter wie der "Webwasher" installieren einen lokalen Proxy, leicht zu erkennen an der IP-Adresse 127.0.0.1 in den Internet-Voreinstellungen).

Als Abhilfe hat Microsoft eine korrigierte Version seiner virtuellen Maschine veröffentlicht (~5,2 MB, unterstützt alle Sprachversionen). Ab Build 3805 ist der beschriebene Fehler behoben. Alternativ können Nutzer aber natürlich auch eine "Original"-VM von Sun Microsystems verwenden, die außerdem den aktuellen Stand der Java-Technik bietet. (tc)