Kritische Lücken im Java-Plug-In

Über die erste Anfälligkeit können Angreifer auf einer Homepage ein manipuliertes Java-Applet [1] ausführen, um ihre Benutzerrechte zu erhöhen und so Code auf dem System des Opfers ausführen, wie Sun Microsystems warnt [2]. Auch die zweite Lücke birgt ein grosses Gefahrenpotential: Sie ermöglicht es, auf einer Homepage Dateien und Webseiten in einem beliebigen Applet zu laden. Der Angreifer muss dazu nur ein anderes Java-Applet auf derselben Seite entsprechend präparieren. Betroffen sind sowohl die Java Runtime Envirinment (JRE) als auch das Java Software Development Kit (SDK) in den Versionen 1.4.2 sowie 1.4.1_06 und älter. Schutz bieten dagegen das aktuelle Release 1.4.2_06 [3] sowie die Version 1.3.1_13 und höher [4]. Auch JDK und JRE 5.0 bleiben von der Schwachstelle verschont [5].