Menü

Java-Applets infizieren Internet Explorer auch beim Einsatz alternativer Browser

Von
vorlesen Drucken Kommentare lesen 284 Beiträge

Im Internet ist die erste Web-Seite aufgetaucht, die den Internet Explorer mit Ad- und Spyware infiziert, auch wenn der Anwender zum Surfen einen anderen Browser, etwa Firefox, Mozilla oder Netscape, einsetzt. Dazu muss allerdings Suns Java-Browser-Plug-in für den benutzten Browser installiert sein. Beim Besuch einer präparierten Seite startet im Browser ein Java-Applet, das Dateien aus dem Internet nachlädt, die Registry modifiziert und den Microsoft-Browser mit Spionageprogrammen infiziert. Dies geschieht unabhängig von den Sicherheitseinstellungen des Internet Explorer.

Normalerweise haben Applets keine Möglichkeit, auf lokale Ressourcen zuzugreifen -- es sei denn, sie nutzen eine Sicherheitslücke aus. Allerdings unterstützt Suns Java-Implementierung digital signierte Java-Applets, die im Unterschied zu normalen Applets auf lokale Ressourcen zugreifen dürfen und von keiner Sandbox kontrolliert werden. Der Anwender wird zwar beim Laden eines solchen Applets gefragt, ob er ihm vertrauen möchte, allerdings wird er nicht davor gewarnt, dass er damit den Zugriff auf das System gewährt.

Ohnehin dürften die wenigsten Anwender wissen, dass Applets auch ohne Kontrolle durch eine Sandbox laufen können. Gerade Sun betonte in der Vergangenheit immer wieder, wie sicher Java aufgrund der Sandbox doch sei. Da Java unabhängig von der Plattform ist, funktioniert der Angriff im Prinzip auch unter Linux und Unix. Im vorliegenden Fall lädt der von F-Secure getaufte Trojaner Java.OpenStream.T allerdings nur die Datei "Win32.EXE" nach, die so ohne weiteres unter Linux nicht laufen dürfte.

Anwender sollten genauestens prüfen, ob sie signierten Applets vertrauen wollen. Nicht immer versucht eine Seite damit schädlichen Code auf dem System zu platzieren. So nutzt etwa Trend Micros Online-Virenscanner Housecall genau diese Technik, um Dateien auf der Festplatte nach Schädlingen zu durchsuchen.

Wie man das Problem nun beseitigt, ist noch unklar. Grundsätzlich liegt der Fehler weder in den Browsern, noch in Suns Java-Implementierung. Zwar misslang nach Angaben von Vitalsecurity der Angriff auf einen Opera-Browser, da dieser nicht Suns Plug-ins benutzt, es gibt aber Hinweise, dass es dennoch möglich sein soll. Zwischen den Betreibern von spywareinfo.com und Vitalsecurity.org ist nun ein Streit entbrannt, ob die Anwender in der Verantwortung stehen, darauf zu achten, in welchen Dialogen sie OK klicken. Ohne die entsprechenden Hintergrundinformationen ist eine Entscheidung allerdings schwierig. Medienberichten zufolge denkt die Mozilla-Foundation bereits darüber nach, das Ausführen signierter Applets einzuschränken.

Siehe dazu auch: (dab)

Anzeige
Anzeige