Sikkerhetsfeil i HotJava

Forskere ved University of Washington (UoW) har funnet en sikkerhetsfeil som gjør at fiendlig Java-kode kan stjele data fra nettvandrere som bruker Suns egen HotJava nettleser.

I henhold til forsknings-teamet ved UoW kan en fiendlig Java-applet bruke sikkerhetshullet i HotJava til å lese tekstinformasjon som passord, nettleserhistorikk, kredittkortinformasjon, cache-innhold, sikkerhetsnøkler, og deler av tidligere leste filer. Så snart en bruker klikker på en nettside med fiendlig Java-kode, kan kode lese informasjon og laste ned til en fremmed server. Den eneste måte å stoppe lekkasjen på, er å slå av nettleseren.

Feilen ligger i Java-verifikasjonskomponenten som skal inspisere Java-kode og utføre dataflyt-analyse på koden for å se om den er i tråd med sikkerhetsbetingelsene i nettleserens Java Virtual Machine. Kode som ikke samsvarer med Java bytekode-spesifikasjonene skal avvises, og når det ikke skjer, som i dette tilfellet, blir sikkerheten kompromittert.

Brukere med de to mest populære nettleserne, Netscape Navigator eller Internet Explorer, skal ikke være affektert.

Forskerne ved UoW rapporterer at feilen ikke eksisterte i Java Development Kit (JDK) 1.0.2, men ser ut til å ha blitt introdusert i forbindelse med utviklingen av 1.1x- generasjonen av JDK.

- Spørsmålet er om sikkerheten blir bedre i nye implementeringer. Hittil har det syntes slik, men når slike sikkerhetsfeil dukker opp - som ikke var i tidligere utgaver - begynner man å lure, sa Brian Bershad ved UoW til nyhetstjenesten News.com.

Sun har anerkjent feilen på JavaSofts sikkerhetsnettsted og forklarer at feilen vil bli fikset i JDK 1.1.3. Java lisensinnehavere har fått tilsendt feilinformasjon og en kodefiks for sikkerhetshullet.

Til toppen