Et kritisk sikkerhedshul i Suns Java-plugin til webbrowsere tillader en Java-applet at slippe ud af sin sandkasse og få frit spil resten på af systemet.
Sårbarheden findes formodentligt i Suns Java-plugin til samtlige platforme, og derfor kan både Windows, Linux, Mac OS og brugere af andre styresystemer være udsat, hvis de har et Java-plugin installeret.
- Det er nok noget folk ikke tænker over, men det normale scenarie er, at de fleste får plugin'et installeret med en webbrowser, forklarer teknisk direktør Thomas Kristensen fra det danske sikkerhedsfirma Secunia.
Usikker sandkasse
Uanset om man anvender Internet Explorer, Mozilla eller en anden browser, vil de fleste brugere have et Java-plugin fra Sun installeret. Men andre programmer, der anvender Java, kan installere plugin'et.
Normalt afvikles en Java-applet, der er et specielt Java-program skrevet til webbrowsere, i en "sandkasse". Den er et særligt lukket miljø, som også sikrer, at appletten kan køre på alle platforme.
Sandkassen forhindrer appletten i at få adgang til selve systemet uden brugerens accept. Sikkerhedshullet i Java-plugin'et sætter imidlertid denne sikkerhed ud af spillet.
- Det gør i princippet, at et hvilket som helst websted kan få adgang til systemet, siger Thomas Kristensen.
Java-appletten sendes sammen med selve websiden til brugerens pc, når siden indlæses. Derfor kan en ondsindet Java-applet få adgang til systemet, hvis en bruger besøger en hjemmeside, der enten er blevet hacket eller blot fungerer som lokkemad.
Sun har udsendt en opdatering sammen med en officiel advarsel om sikkerhedshullet.
- Både virksomheder og private bør se at få opdateret, siger Thomas Kristensen.
For de fleste brugere vil det sige, at de skal hente "J2SE v 1.4.2_06 JRE", der er den nyeste version af Java Runtime Environment fra Sun.
Relevante link