Újabb kritikus biztonsági hiba a Microsoft rendszerében

Ezen biztonsági rések akkor jelentenek komoly problémát, ha egy olyan weboldalra látogat el a felhasználó, amely speciálisan megírt kódjával képest ezt kihasználni, vagy olyan e-mailt kap, melynek HTML tartalmában szintén speciális kód található.

Az első hiba a Java Database Connectivy (JDBC) osztályokban található, melynek segítségével a Java alkalmazások széleskörű adatforrásoz képesek hozzáférni és azt használni (az egyszerű file-októl egészen az SQL adatbázisokig). Egy DLL betöltéséből és kezeléséből származik a sebezhetőség: az ugyan ellenőrzésre kerül, hogy csak hitelesített appletek küldhessenek ilyen kérelmet, de ezt az ellenőrzést ki lehet játszani, így egy rosszindulatú behatoló képes a felhasználó rendszerében bármely DLL-t betölteni és futtatni.

A másik hiba szintén a JDBC-ben található, amely abból adódik, hogy az osztályok bizonyos funkciói nem megfelelően ellenőrzött módon kezelik a bejövő adatokat, ennek révén az ezt kihasználó támadó a felhasználó biztonsági szintjének megfelelő környezetben futtathat kódot.

Végül a harmadik biztonsági rés a Java alkalmazások XML használatában rejlik. Bizonyos esetekben bármely applet használható, de gyakran csak azok, amelyek engedélyezettek. Az osztály, amely ezért felelős, nem tud rendesen különbséget tenni ezen esetek között, így gyakorlatilag bármely applet felhasználásra kerülhet.

A javítás már letölthető a Windows Update-ről.