Marburger Informatiker entdeckt Sicherheitslücke
Der Marburger Diplom-Informatiker Karsten Sohr (Arbeitsgruppe Prof. Manfred Sommer) hat in der weithin verwendeten Programmiersprache Java eine ernsthafte Sicherheitslücke entdeckt. Sie erlaubt einem Angreifer, im Internet eine Seite mit einer eingebauten Falle zu konstruieren. Sobald ein Opfer diese Seite im Netz betrachtet, kann der Angreifer die Kontrolle über dessen Computer übernehmen und dort machen, was er will. Er kann nach Belieben Dateien lesen, löschen oder die Aktivitäten auf dem Computer des Opfers verfolgen. Java ist eine beliebte Programmiersprache, weil sie - zumindest theoretisch - Programmierern erlaubt, Software unabhängig vom Betriebssystem und den verwendeten Chips eines Computers zu schreiben.
Die Sicherheitslücke steckt in der sogenannten "Java Virtual Machine" (JVM ), die zwischen einem Java-Programm und dem PC vermittelt. Die JVM wird unter anderem mit gängigen "Browsern" ausgeliefert, das sind Programme, mit denen Seiten im Internet betrachtet werden können. Nach Angaben des "Secure Internet Programming Laboratory" der Universität von Princeton ist die riskante Software zum Beispiel im "Java Development Kit JDK 1.1" des Java-Herstellers Sun oder in dem Browser "Netscape Navigator 4.x" enthalten. Dagegen soll nach den Angaben aus Princeton der neueste "Internet Explorer" der Firma Microsoft nicht betroffen sein.
Der Fehler steckt in einem Softwareteil namens "Verifier", der prüft, ob Programmiercode aus einer vertrauenswürdigen Quelle stammt. Unter bestimmten Umständen untersucht die "Java Virtual Machine" jedoch nicht den gesamten Programmiercode, der geladen wird. So kann ein Angreifer Anweisungen einschmuggeln, die die für Java typischen Sicherheitsmechanismen unterläuft. Karsten Sohr ist es gelungen zu zeigen, dass sich tatsächlich auf diese Weise über das Internet in einen fremden Computer eindringen lässt. Bisher ist jedoch noch kein Fall bekannt geworden, in dem die Sicherheitslücke für einen wirklichen Angriff ausgenutzt worden wäre. Das Problem ist relativ einfach durch Hinzufügen einer einzigen Programmierzeile zu lösen.
Kontaktadresse (nicht zur Veröffentlichung bestimmt):
Prof. Dr. Manfred Sommer
Fachbereich Mathematik und Informatik
Hans-Meerwein-Straße
35032 Marburg
Telefon: 06421 / 28-1512 oder -1514 (Sekretariat)
Fax: 06421 / 28-5419
E-Mail: sommer@mathematik.uni-marburg.de
WWW-Adressen:
"Secure Internet Programming Laboratory" der Universität von Princeton: http://www.CS.Princeton.EDU/sip/
Weitere Quellen:
http://www.news.com/News/Item/0,4,34369,00.html
http://www.intern.de/99/13/55.shtml
http://www.CS.Princeton.EDU/sip/
http://www.news.com/News/Item/0,4,34369,00.html
http://www.intern.de/99/13/55.shtml
Criteria of this press release:
Information technology, Media and communication sciences
transregional, national
Research results
German
You can combine search terms with and, or and/or not, e.g. Philo not logy.
You can use brackets to separate combinations from each other, e.g. (Philo not logy) or (Psycho and logy).
Coherent groups of words will be located as complete phrases if you put them into quotation marks, e.g. “Federal Republic of Germany”.
You can also use the advanced search without entering search terms. It will then follow the criteria you have selected (e.g. country or subject area).
If you have not selected any criteria in a given category, the entire category will be searched (e.g. all subject areas or all countries).