Gravierende Sicherheitsmängel in Netscape 2.0/Java |
|
Seit ein paar Tagen häufen sich im Internet die Mitteilungen über gravierende Sicherheitsprobleme in Java (Windows und Unix-versionen) bzw. Netscape 2.0 (Windows-Version) das Java voll integriert hat.
Robert Loverso demonstriert
ein Java Script, das Nutzeraktivitäten am Bildschirm - wie die URL's von
gerade besuchten Webseiten - festhält und sie zu einem fremden Server
überträgt.
Lincoln Stein, Herausgeber der WWW Security FAQ führt eine weiteres
Beispiel an, aus dem deutlich wird, wie durch gravierende Sicherheitslöcher
Java Applets sogar Firewalls von Firmen-LANs austricksen können. "Ein
Applet kann selbständig eine Verbindung zum privaten News Server einer
Organisation aufbauen und die neuesten Briefe einer (firmen-)internen
Newsgroup an einen externen Server übertragen."
Lincoln Stein WWW Security FAQ Question 70 Java, Question 71 Java-Script
13.3.1996.
Das bekannte CERT Coordination Center an der Carnegie Mellon Universität
hat am 5. März eine Eilmeldung "Java Implementations Can Allow Connections
to an Arbitrary Host" herausgegeben.
Sobald weitere aktuelle Informationen vorliegen werden diese von CERT abzurufen sein.
Netscape Benutzer können mehr über das Problem aus der Sicht von Netscape
und auch Infos über ein Patch bzw, Update erhalten.
Während CERT und Netscape der Meinung sind, daß das Problem durch
Abschalten von Java unter dem Menü Security des Netscape 2.0 Browsers -
vorläufig aus der Welt sei, ist Lincoln Stein der Ansicht, daß dies keine
Auswirkungen auf Java Scripts habe. Er empfiehlt Netscape 2.0 zu
deinstallieren und zu Netscape 1.1 zurückzukehren.
Die Benutzung von Beta-Versionen von Netscape 2.0 sollten Sie auf jeden
fall sofort stoppen, da diese zusätzliche Sicherheitsprobleme aufweisen.
|