Über das Java Networking Launching Protocol (JNLP) geladene, nicht vertrauenswürdige Java Web Start (JWS) Applikationen können die Sicherheitsmechanismen der JWS-Umgebung unterlaufen und auf geschützte Ressourcen des beherbergenden Systems zugreifen.

Betroffene Systeme

• Java Web Start 1.0.1_01
• Java Web Start 1.0.1
• Java Web Start 1.0

Einfallstor
arglistige Java Web Start Applikation, die über JNLP geladen und gestartet wurde.

Auswirkung
Zugriff auf geschützte Ressourcen (remote user compromise)

Typ der Verwundbarkeit
Derzeit liegt keine Information hierzu vor.

Gefahrenpotential
mittel bis hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Kontext
Java^TM Web Start (JWS) ist eine Erweiterung von Suns Java-Umgebung zur fliegenden Installation und Ausführung beliebiger Java-Applikationen über einen Webbrowser. Komplexe Applikationen müssen nicht mehr auf Klientensystemen regulär installiert werden sondern können mittels eines einfachen Mausklicks im Webbrowser in die JWS-Umgebung geladen und gestartet werden. Die Applikationen werden danach unabhängig vom Browser cached und können auch einzeln in der JWS-Umgebung gestartet werden, ohne daß hierfür eine neue Netzwerkverbindung zum Server hergestellt werden muß.

Beschreibung
Eine Schwachstelle in Java Web Start ermöglicht einer nicht vertrauenswürdigen Java-Applikation die Sicherheitsbeschränkungen der Sandbox zu umgehen und auf geschützte Ressourcen im Rahmen der Möglichkeiten des Benutzerkontextes zuzugreifen. Mittelbar kann dies unter Umständen zur Kompromittierung des beherbergenden Rechnersystems ausgenutzt werden.

Eine nicht vertrauenswürdige (untrusted) Java-Applikation ist eine Applikation, die weder durch eine Signatur noch durch eine Bestätigung des Benutzers den Status einer vertrauenswürdigen (trusted) Applikation erhalten hat und daher nicht autorisiert ist, auf geschützte Ressourcen des beherbergenden Systems zuzugreifen.

Gegenmaßnahmen
Sun stellt neue Releases von JWS sowie des SDK bereit und empfiehlt deren Installation:

• Java Web Start 1.0.1_02
• SDK 1.4

Weitere Information zu diesem Thema

• Sun Security Bulletin #00217
• Java Web Start Homepage

Weitere Artikel zu diesem Thema:

• [Generic/JRE] Schwachstelle in der Java Runtime Environment (JRE) (2003-10-24)
  Eine Schwachstelle in der Java Runtime Environment ermöglicht einem nicht vertrauenswürdigen Applet, die Beschränkungen der Sandbox zu verlassen.
• [Generic/JRE] Schwachstelle im Bytecode Verifier der JRE (2002-03-19)
  Der Bytecode Verifier der Java Runtime Environment (JRE) besitzt eine Schwachstelle, die einem untrusted Applet eine nicht autorisierte Privilegienerweiterung ermöglicht und dazu ausgenutzt werden kann, beliebigen Programmcode mit den Rechten des JRE-Prozesses auszuführen.
• [Generic/JRE] Schwachstelle in der Java Runtime Environment (2002-03-07)
  Eine Schwachstelle in der Java Runtime Environment (JRE) ermöglicht einem untrusted applet einen Teil der Sicherheitsvorkehrungen zu unterlaufen und die Kommunikation mit einem ggf. konfigurierten HTTP-Proxy zu beobachten sowie den Datenverkehr auf einen beliebigen anderen Host umzuleiten.
• [Generic/JRE] Java-Applets können unautorisiert auf das System-Clipboard zugreifen - neue Releases verfügbar (2001-10-23)
  Eine Schwachstelle in der Java Runtime Environment (JRE) erlaubt es nicht vertrauenswürdigen Applets, auf das System-Clipboard zuzugreifen. Sun stellt neue Releases des SDK und der JRE zur Vefügung, die diese Schwachstelle nicht mehr enthalten.
• [Generic/JRE] Schwachstelle in der Sun Java Runtime Environment (2000-12-04)
  In der Java Run Time Environment (JRE) 1.1.x und 1.2.x von SUN existiert eine potentielle Sicherheitslücke, die einer untrusted Java class erlaubt, Klassen zu laden, für die sie keine Berechtigung hat.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/