In Suns Java Plug-in für den Internet Explorer wurde ein weiterer Fehler entdeckt, mit dem präparierte Java Applets aus der Sandbox ausbrechen und die Kontrolle über den Rechner erlangen können. Die Schwachstelle ermöglicht Javascript, private Klassen zu laden, auf die eigentlich nur die Java Virtual Machine Zugriff haben sollte. Ursprünglich war dieses Problem bereits Ende Oktober aufgetaucht. Die damals veröffentlichten Proof-of-Concept-Exploits benutzen die Klasse "sun.text.Utility" zum Ausnutzen der Lücke. Sun stellte daraufhin neue Versionen seiner SDK und der Runtime-Version bereit (1.4.2_06 und 1.3.1_13), um die Lücke zu schließen. Offenbar ist der Fehler aber in der Windows-Version nicht für alle Klassen vollständig behoben, weshalb Sun nun abermals eine neue Version zur Verfügung stellen muss.
Zudem hat man einen weiteren Fehler gefunden, mit dem ein Applet ein anderes unberechtigterweise beeinflussen kann. Betroffen sind die Windows-, Solaris- and Linux-Versionen der SDK/JRE 1.4.2_05 und vorhergehende, alle 1.4.1- und 1.4.0-Versionen sowie 1.3.1_12 und vorhergehende. Die Fehler sind aber bereits ab den Versionen 1.4.2_06 und 1.3.1_13 behoben. JDK und JRE 5.0 sind nicht betroffen.
Cheers
@JAckI:chrz: