Trojansk Java-hest kan gi programkrasj

En nyoppdaget feil i Java Virtual Machine gir hackere muligheten til å krasje Java-programmer over Internett.

Feilen ligger i en del av Java Virtual Machine som verifiserer nedlastet Java-kode. JavaSoft, Sun Microsystems Java-divisjon, har tilkjennegitt feilen og utviklet en feilfiks som er gjort tilgjengelig for Java-lisensinnehavere. Fiksen blir også inkludert i Java Development Kit 1.1.2 som kommer i løpet av uke 22.

Feilen ble oppdaget av et team med dataforskere ved University of Washington (UoW) som ledd i dets arbeide med å utvikle en kodeverifiserer for Java. En slik kodeverifiserer er et sentral element i sikkerheten ved Java. All kode som lastes ned blir sjekket for sikkerhetsproblemer før koden godkjennes og settes sammen til en eksekverbar applikasjon. Idéen er å hindre at skjult fiendlig kode, ofte omtalt som en trojansk hest, slippes inn.

I forbindelse med utviklingen av Java-verifisereren, Kimera, har UoW-teamet laget teknologi som gjør det mulig å teste kommersielt tilgjengelige utgaver av Java Virtual Macine. Testingen av JavaSofts JDK 1.1.1 verifiserer viste at den er sårbar. Det samme gjaldt Microsofts Java Virtual Machine. Begge selskaper har gjort feilfikser tilgjengelig på sine nettsteder.

Til toppen