JohnnyCage
Kritikus biztonsági rések a Microsoft JVM-ben
A Microsoft biztonsági figyelmeztetése szerint a társaság Java Virtual Machine implementációja két olyan biztonsági rést tartalmaz, amiket kihasználva egy támadó átveheti a rendszer irányítását.
A Java Virtual Machine, amely a platformfüggetlen Java programok futását teszi lehetővé a számítógépen, a biztonsági réseken keresztül "lehetővé teszi egy esetleges támadónak, hogy átvegye a felhasználó számítógépének teljes irányítását, vagyis alkalmazásokat futtasson, kapcsolatot teremtsen különféle weboldalakkal, illetve adatokat módosítson, vagy töröljön" - áll a szoftveróriás közleményében.
A támadó egy speciálisan megformázott HTML oldal segítségével juthat be a számítógépbe, amely lehet egy weboldal, de érkezhet akár e-mailben is. Az e-mailen keresztüli veszély azonban nem él az Outlook 2002 és az Outlook Express 6.0 levelezőprogram esetén, illetve abban az esetben, ha a felhasználó feltelepítette az Outlook E-mail Security Update frissítést. Nem áll fenn az Internet Exploreren keresztüli támadás veszélye sem akkor, ha a felhasználó letiltotta a Java appletek futásának lehetőségét a böngészőben.
Az első hiba néhány, adatbázisokhoz kapcsolódó Java osztály esetén merül fel. Bár az osztályok megpróbálják blokkolni az illegális kéréseket, a biztonsági megoldásokat eközben megkerülheti a támadó. A második hiba abban az osztályban van, amely lehetővé teszi az XML használatát Java-n keresztül.
A javítás letölthető a Microsoft weboldaláról, vagy a Windows Update-en keresztül.
A Java Virtual Machine, amely a platformfüggetlen Java programok futását teszi lehetővé a számítógépen, a biztonsági réseken keresztül "lehetővé teszi egy esetleges támadónak, hogy átvegye a felhasználó számítógépének teljes irányítását, vagyis alkalmazásokat futtasson, kapcsolatot teremtsen különféle weboldalakkal, illetve adatokat módosítson, vagy töröljön" - áll a szoftveróriás közleményében.
A támadó egy speciálisan megformázott HTML oldal segítségével juthat be a számítógépbe, amely lehet egy weboldal, de érkezhet akár e-mailben is. Az e-mailen keresztüli veszély azonban nem él az Outlook 2002 és az Outlook Express 6.0 levelezőprogram esetén, illetve abban az esetben, ha a felhasználó feltelepítette az Outlook E-mail Security Update frissítést. Nem áll fenn az Internet Exploreren keresztüli támadás veszélye sem akkor, ha a felhasználó letiltotta a Java appletek futásának lehetőségét a böngészőben.
Az első hiba néhány, adatbázisokhoz kapcsolódó Java osztály esetén merül fel. Bár az osztályok megpróbálják blokkolni az illegális kéréseket, a biztonsági megoldásokat eközben megkerülheti a támadó. A második hiba abban az osztályban van, amely lehetővé teszi az XML használatát Java-n keresztül.
A javítás letölthető a Microsoft weboldaláról, vagy a Windows Update-en keresztül.