Mac OS-Anwender, die mit der Version 2.2.3 von Apple´s MRJ (Mac OS Runtime for Java) browsen, sollten diese deaktivieren. Folgende Browser sind gemeint: Internet Explorer ab 4,5; Netscape-Communicator-Versionen 4.76 und 6 sowie iCab. Benutzer der genannten Browser müssen damit rechnen, dass ihre Rechner remote komplett durchforstet werden. Die -Schwesterzeitung Macwelt schreibt dazu Folgendes: "Der Japaner Hiromitsu Takagi weist auf einen groben Fehler in der Sicherheitsstruktur der Mac-OS Runtime für Java (MRJ) 2.2.3 von Apple hin, jene Bas, die Java-Applets und Applikationenen zum Beispiel in den Microsoft-Browser aber auch in Netscape 6 und iCab 2.2 auf den Mac bringt. Auch in einer früheren Version der Java-Runtime soll dieser Fehler schon vorhanden gewesen sein. Konkret bedeutet der Fehler für den Anwender folgendes Sicherheitsrisiko: Fremde können Daten von der eigenen Festplatte auslesen, den eigenen Web-Browser steuern und auf Informationen, die eigentlich nur für das firmeneigene Intranet bestimmt sind, zugreifen. Dieser Fehler war schon in Suns Java Development Kit 1.1.4 aufgetreten, der die Basis für Apples MRJ 2.2.3 darstellt. Sun hatte ihn mit der JDK-Version 1.1.5 kommentarlos beseitigt. Takagi hat nach eigenen Aussagen Apple schon vor einiger Zeit über die Sicherheitslücke informiert, bisher aber keine Reaktion aus Cupertino erhalten. Bis dato hat Apple auch noch kein Update anchgeliefert, welches dieses Problem behebt. Nach Ansicht von Takagi handelt es sich bei der Sicherheitslücke um einen ähnlichen Fehler wie den, den Georgi Guninski im Internet Explorer unter Windows entdeckt hatte. Guninski hatte im Oktober 1999 in der Explorer-Version MS00-81 eine Lücke in Verbindung mit Microsofts "Virtua Machine for Java" aufgedeckt. Diesen Fehler hat Microsoft im Februar 2000 mit der Version MS00-11 behoben. Apple bleibt also offenbar nicht nur eine Antwort schuldig, sondern hat wohl auch bis heute die eigene Software nicht auf den bei dem Micrsoft-Produkt aufgetretenen Fehler überprüft - dies alles in einer Zeitspanne von Oktober 1999 bis heute. Die einzige Möglichkeit, sich momentan vor Zugriffen Fremder zu schützen, besteht darin, bei den verwendeten Browsern, die Java Option zu deaktivieren. Ob diese Sicherheitslücke bei der eigenen Systemkombination besteht, kann man auf der Webseite von Java House-Brewers testen."
21.12.2000
Mac OS-Anwender, die mit der Version 2.2.3 von Apple´s MRJ (Mac OS Runtime for Java) browsen, sollten diese deaktivieren. Folgende Browser sind gemeint: Internet Explorer ab 4,5; Netscape-Communicator-Versionen 4.76 und 6 sowie iCab. Benutzer der genannten Browser müssen damit rechnen, dass ihre Rechner remote komplett durchforstet werden. Die -Schwesterzeitung Macwelt schreibt dazu Folgendes: "Der Japaner Hiromitsu Takagi weist auf einen groben Fehler in der Sicherheitsstruktur der Mac-OS Runtime für Java (MRJ) 2.2.3 von Apple hin, jene Bas, die Java-Applets und Applikationenen zum Beispiel in den Microsoft-Browser aber auch in Netscape 6 und iCab 2.2 auf den Mac bringt. Auch in einer früheren Version der Java-Runtime soll dieser Fehler schon vorhanden gewesen sein. Konkret bedeutet der Fehler für den Anwender folgendes Sicherheitsrisiko: Fremde können Daten von der eigenen Festplatte auslesen, den eigenen Web-Browser steuern und auf Informationen, die eigentlich nur für das firmeneigene Intranet bestimmt sind, zugreifen. Dieser Fehler war schon in Suns Java Development Kit 1.1.4 aufgetreten, der die Basis für Apples MRJ 2.2.3 darstellt. Sun hatte ihn mit der JDK-Version 1.1.5 kommentarlos beseitigt. Takagi hat nach eigenen Aussagen Apple schon vor einiger Zeit über die Sicherheitslücke informiert, bisher aber keine Reaktion aus Cupertino erhalten. Bis dato hat Apple auch noch kein Update anchgeliefert, welches dieses Problem behebt. Nach Ansicht von Takagi handelt es sich bei der Sicherheitslücke um einen ähnlichen Fehler wie den, den Georgi Guninski im Internet Explorer unter Windows entdeckt hatte. Guninski hatte im Oktober 1999 in der Explorer-Version MS00-81 eine Lücke in Verbindung mit Microsofts "Virtua Machine for Java" aufgedeckt. Diesen Fehler hat Microsoft im Februar 2000 mit der Version MS00-11 behoben. Apple bleibt also offenbar nicht nur eine Antwort schuldig, sondern hat wohl auch bis heute die eigene Software nicht auf den bei dem Micrsoft-Produkt aufgetretenen Fehler überprüft - dies alles in einer Zeitspanne von Oktober 1999 bis heute. Die einzige Möglichkeit, sich momentan vor Zugriffen Fremder zu schützen, besteht darin, bei den verwendeten Browsern, die Java Option zu deaktivieren. Ob diese Sicherheitslücke bei der eigenen Systemkombination besteht, kann man auf der Webseite von Java House-Brewers testen."