idw – Informationsdienst Wissenschaft
Nachrichten, Termine, Experten
Nachrichten, Termine, Experten
Marburger Informatiker entdeckt Sicherheitslücke
Der Marburger Diplom-Informatiker Karsten Sohr (Arbeitsgruppe Prof. Manfred Sommer) hat in der weithin verwendeten Programmiersprache Java eine ernsthafte Sicherheitslücke entdeckt. Sie erlaubt einem Angreifer, im Internet eine Seite mit einer eingebauten Falle zu konstruieren. Sobald ein Opfer diese Seite im Netz betrachtet, kann der Angreifer die Kontrolle über dessen Computer übernehmen und dort machen, was er will. Er kann nach Belieben Dateien lesen, löschen oder die Aktivitäten auf dem Computer des Opfers verfolgen. Java ist eine beliebte Programmiersprache, weil sie - zumindest theoretisch - Programmierern erlaubt, Software unabhängig vom Betriebssystem und den verwendeten Chips eines Computers zu schreiben.
Die Sicherheitslücke steckt in der sogenannten "Java Virtual Machine" (JVM ), die zwischen einem Java-Programm und dem PC vermittelt. Die JVM wird unter anderem mit gängigen "Browsern" ausgeliefert, das sind Programme, mit denen Seiten im Internet betrachtet werden können. Nach Angaben des "Secure Internet Programming Laboratory" der Universität von Princeton ist die riskante Software zum Beispiel im "Java Development Kit JDK 1.1" des Java-Herstellers Sun oder in dem Browser "Netscape Navigator 4.x" enthalten. Dagegen soll nach den Angaben aus Princeton der neueste "Internet Explorer" der Firma Microsoft nicht betroffen sein.
Der Fehler steckt in einem Softwareteil namens "Verifier", der prüft, ob Programmiercode aus einer vertrauenswürdigen Quelle stammt. Unter bestimmten Umständen untersucht die "Java Virtual Machine" jedoch nicht den gesamten Programmiercode, der geladen wird. So kann ein Angreifer Anweisungen einschmuggeln, die die für Java typischen Sicherheitsmechanismen unterläuft. Karsten Sohr ist es gelungen zu zeigen, dass sich tatsächlich auf diese Weise über das Internet in einen fremden Computer eindringen lässt. Bisher ist jedoch noch kein Fall bekannt geworden, in dem die Sicherheitslücke für einen wirklichen Angriff ausgenutzt worden wäre. Das Problem ist relativ einfach durch Hinzufügen einer einzigen Programmierzeile zu lösen.
Kontaktadresse (nicht zur Veröffentlichung bestimmt):
Prof. Dr. Manfred Sommer
Fachbereich Mathematik und Informatik
Hans-Meerwein-Straße
35032 Marburg
Telefon: 06421 / 28-1512 oder -1514 (Sekretariat)
Fax: 06421 / 28-5419
E-Mail: sommer@mathematik.uni-marburg.de
WWW-Adressen:
"Secure Internet Programming Laboratory" der Universität von Princeton: http://www.CS.Princeton.EDU/sip/
Weitere Quellen:
http://www.news.com/News/Item/0,4,34369,00.html
http://www.intern.de/99/13/55.shtml
http://www.CS.Princeton.EDU/sip/
http://www.news.com/News/Item/0,4,34369,00.html
http://www.intern.de/99/13/55.shtml
Merkmale dieser Pressemitteilung:
Informationstechnik, Medien- und Kommunikationswissenschaften
überregional
Forschungsergebnisse
Deutsch
Sie können Suchbegriffe mit und, oder und / oder nicht verknüpfen, z. B. Philo nicht logie.
Verknüpfungen können Sie mit Klammern voneinander trennen, z. B. (Philo nicht logie) oder (Psycho und logie).
Zusammenhängende Worte werden als Wortgruppe gesucht, wenn Sie sie in Anführungsstriche setzen, z. B. „Bundesrepublik Deutschland“.
Die Erweiterte Suche können Sie auch nutzen, ohne Suchbegriffe einzugeben. Sie orientiert sich dann an den Kriterien, die Sie ausgewählt haben (z. B. nach dem Land oder dem Sachgebiet).
Haben Sie in einer Kategorie kein Kriterium ausgewählt, wird die gesamte Kategorie durchsucht (z.B. alle Sachgebiete oder alle Länder).
