Stabsstelle Informationssicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-754

[Generic/Java Web Start] Java Web Start Applikationen können auf geschützte Ressourcen zugreifen
(2002-03-20 16:00:32+00)

Quelle: http://sunsolve.Sun.COM/pub-cgi/retrieve.pl?doctype=coll&doc=secbull/217&type=0&nav=sec.sba

Über das Java Networking Launching Protocol (JNLP) geladene, nicht vertrauenswürdige Java Web Start (JWS) Applikationen können die Sicherheitsmechanismen der JWS-Umgebung unterlaufen und auf geschützte Ressourcen des beherbergenden Systems zugreifen.

Betroffene Systeme

Einfallstor
arglistige Java Web Start Applikation, die über JNLP geladen und gestartet wurde.

Auswirkung
Zugriff auf geschützte Ressourcen (remote user compromise)

Typ der Verwundbarkeit
Derzeit liegt keine Information hierzu vor.

Gefahrenpotential
mittel bis hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Kontext
JavaTM Web Start (JWS) ist eine Erweiterung von Suns Java-Umgebung zur fliegenden Installation und Ausführung beliebiger Java-Applikationen über einen Webbrowser. Komplexe Applikationen müssen nicht mehr auf Klientensystemen regulär installiert werden sondern können mittels eines einfachen Mausklicks im Webbrowser in die JWS-Umgebung geladen und gestartet werden. Die Applikationen werden danach unabhängig vom Browser cached und können auch einzeln in der JWS-Umgebung gestartet werden, ohne daß hierfür eine neue Netzwerkverbindung zum Server hergestellt werden muß.

Beschreibung
Eine Schwachstelle in Java Web Start ermöglicht einer nicht vertrauenswürdigen Java-Applikation die Sicherheitsbeschränkungen der Sandbox zu umgehen und auf geschützte Ressourcen im Rahmen der Möglichkeiten des Benutzerkontextes zuzugreifen. Mittelbar kann dies unter Umständen zur Kompromittierung des beherbergenden Rechnersystems ausgenutzt werden.

Eine nicht vertrauenswürdige (untrusted) Java-Applikation ist eine Applikation, die weder durch eine Signatur noch durch eine Bestätigung des Benutzers den Status einer vertrauenswürdigen (trusted) Applikation erhalten hat und daher nicht autorisiert ist, auf geschützte Ressourcen des beherbergenden Systems zuzugreifen.

Gegenmaßnahmen
Sun stellt neue Releases von JWS sowie des SDK bereit und empfiehlt deren Installation:

Weitere Information zu diesem Thema

(og)

Weitere Artikel zu diesem Thema:

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=754