Microsoft veröffentlicht kritische Java-Sicherheitsmängel

Microsoft veröffentlichte am Mittwochabend eine Warnung an alle Windows-User über zwei neue kritische Sicherheitslücken, die Hackern Zugang zum Anwender-PC verschaffen.

Die Sicherheitsmängel liegen in der Java Virtual Machine, die das Funktionieren plattform-unabhängiger Programme ermöglicht.

"Durch diese Mängel können Angreifer die komplette Kontrolle über den PC des Anwenders gewinnen," heißt es in der Warnung. "Damit kann der Angreifer alle Aktionen durchführen, die sonst nur dem User vorbehalten sind, beispielsweise Anwendungen starten, Kontakt mit Websites aufnehmen oder Daten löschen oder verändern."

Ein Angreifer hackt sich ins System, indem der User dazu gebracht wird, auf eine bestimmte Website zu surfen, auf der ein Code eingebettet ist. Auch HTML-E-Mail kann eine Gefahr darstellen, außer der Mail-Empfänger benutzt Outlook 2002, Outlook Express 6.0 oder hat das Outlook-E-Mail-Security-Update installiert. Außerdem werden noch diejenigen von einem Angriff verschont, die in den Internet-Explorer-Sicherheitseinstellungen Java-Applets deaktiviert haben.

Die erste Sicherheitslücke entsteht durch mangelnde Zuverlässigkeit bestimmter Java-Klassen, die Datenbankabfragen handeln. Obwohl diese Klassen versuchen, illegale Anfragen zu blocken, kann das Security-System umgangen werden, heißt es in der Microsoft-Warnung. Eine weitere Sicherheitslücke birgt eine Java-Klasse, die zur Verfügung gestellt wird, um XML via Java zu nutzen, und die allen Programmen - nicht nur einer kleinen Auswahl - das Verwenden der Methoden erlaubt.

Microsoft hat einen Patch auf seiner Website zur Verfügung gestellt. Dieser Patch wird außerdem über ein Windows-Update ausgeliefert.