Thema: Java-Applets infizieren Internet Explorer auch beim Einsatz alternativer Browser

[SiLæncer]

Im Internet ist die erste Web-Seite aufgetaucht, die den Internet Explorer mit Ad- und Spyware infiziert, auch wenn der Anwender zum Surfen einen anderen Browser, etwa Firefox, Mozilla oder Netscape, einsetzt. Dazu muss allerdings Suns Java-Browser-Plug-in für den benutzten Browser installiert sein. Beim Besuch einer präparierten Seite startet im Browser ein Java-Applet, das Dateien aus dem Internet nachlädt, die Registry modifiziert und den Microsoft-Browser mit Spionageprogrammen infiziert. Dies geschieht unabhängig von den Sicherheitseinstellungen des Internet Explorer.

Normalerweise haben Applets keine Möglichkeit, auf lokale Ressourcen zuzugreifen -- es sei denn, sie nutzen eine Sicherheitslücke aus. Allerdings unterstützt Suns Java-Implementierung digital signierte Java-Applets, die im Unterschied zu normalen Applets auf lokale Ressourcen zugreifen dürfen und von keiner Sandbox kontrolliert werden. Der Anwender wird zwar beim Laden eines solchen Applets gefragt, ob er ihm vertrauen möchte, allerdings wird er nicht davor gewarnt, dass er damit den Zugriff auf das System gewährt.

Ohnehin dürften die wenigsten Anwender wissen, dass Applets auch ohne Kontrolle durch eine Sandbox laufen können. Gerade Sun betonte in der Vergangenheit immer wieder, wie sicher Java aufgrund der Sandbox doch sei. Da Java unabhängig von der Plattform ist, funktioniert der Angriff im Prinzip auch unter Linux und Unix. Im vorliegenden Fall lädt der von F-Secure getaufte Trojaner Java.OpenStream.T allerdings nur die Datei "Win32.EXE" nach, die so ohne weiteres unter Linux nicht laufen dürfte.

Anwender sollten genauestens prüfen, ob sie signierten Applets vertrauen wollen. Nicht immer versucht ein Angreifer damit schädlichen Code auf dem System zu platzieren. So nutzt etwa Trend Micros Online-Virenscanner Housecall genau diese Technik, um Dateien auf der Festplatte nach Schädlingen zu durchsuchen.

Wie man das Problem nun beseitigt, ist noch unklar. Grundsätzlich liegt der Fehler weder in den Browsern, noch in Suns Java-Implementierung. Zwar misslang nach Angaben von Vitalsecurity der Angriff auf einen Opera-Browser, da dieser nicht Suns Plug-ins benutzt, es gibt aber Hinweise, dass es dennoch möglich sein soll. Zwischen den Betreibern von spywareinfo.com und Vitalsecurity.org ist nun ein Streit entbrannt, ob die Anwender in der Verantwortung stehen, darauf zu achten, in welchen Dialogen sie OK klicken. Ohne die entsprechenden Hintergrundinformationen ist eine Entscheidung allerdings schwierig. Medienberichten zufolge denkt die Mozilla-Foundation bereits darüber nach, das Ausführen unsignierter Applets einzuschränken.

Quelle und Links : http://www.heise.de/newsticker/meldung/57578

[Jürgen]

Die meisten Dialer sind auch digital signiert, das kenne ich schon lange z.B. von Star.
Eine gültige Signatur bedeutet nur, das das Ding nach der Übertragung intakt ist, sagt aber absolut nichts über eingebaute Funktionen oder Gefahren aus.

Es gibt meines Erachtens absolut keine Rechtfertigung, nur per Java Applet und einfacher unspezifischer Bestätigung das Durchbrechen der Sandbox zuzulassen.
Das macht das ganze Konzept wertlos.
Erwünschte Software für lokale Zwecke kann man schliesslich kinderleicht manuell installieren.

Ich hoffe wohl vergeblich, dass das Deaktivieren von "Websites das Installieren von Software erlauben" hier irgendwas nützt...

In jedem Falle haben die Browser- und Plugin-Hersteller gemeinsam die Verantwortung, solchen Missbrauch default zu verhindern.

Dieses Thema ist für den IE schon unendlich oft diskutiert worden, das war sicher für Viele ein wichtiger Grund zum Wechsel.

Nicht immer versucht ein Angreifer damit schädlichen Code auf dem System zu platzieren

Lasst Euch nicht verarschen.
Nicht immer ist eine Patrone in der Kammer beim Russisch Roulette...

Jürgen