MS02-013: Java-Applet kann Internetverkehr umleiten

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 300845 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel wurde archiviert. Er wird im vorliegenden Zustand bereitgestellt und nicht mehr aktualisiert.
Hinweis
Das Update für Microsoft Virtual Machine (Microsoft VM), das zuvor in diesem Artikel aufgeführt war, ist nicht mehr verfügbar. Weitere Informationen finden Sie auf den folgenden Microsoft-Webseiten:
http://www.microsoft.com/mscorp/java/default.mspx
http://support.microsoft.com/gp/lifean12
Alles erweitern | Alles schließen

Problembeschreibung

In der Microsoft Virtual Machine (Microsoft VM) wurde eine Sicherheitsanfälligkeit entdeckt, die es einem in böswilliger Absicht entwickelten Java-Applet unter Umständen ermöglichen könnte, ohne Wissen des Benutzers sämtlichen Internetverkehr an den Host des Applets umzuleiten. Diese Sicherheitsanfälligkeit wird auch Session Hijacking (Sitzungsentführung) genannt. Nachdem ein Angreifer in den Besitz des umgeleiteten Internetverkehrs gelangt ist, kann er nach eigenem Gutdünken jede beliebige Aktion ausführen, unter anderem auch folgende:
  • Eine Browseranfrage verarbeiten,
  • Sitzungsinformationen aufzeichnen,
  • die Anfrage zum vorgesehenen Bestimmungsort weiterleiten.
HINWEIS: Aufgrund dieser Sicherheitsanfälligkeit wäre es einem arglistigen Dritten möglich, Sitzungsinformationen eines Benutzers aufzuzeichnen und unter Umständen nach Benutzernamen, Kennwörtern oder Kreditkartennummern zu durchsuchen, die als einfacher (unverschlüsselter) Text versendet werden.

Ein in böswilliger Absicht entwickeltes Applet, das diese Sicherheitsanfälligkeit auszunutzen versucht, wäre aktiv, bis der Benutzer alle geöffneten Internet Explorer-Instanzen geschlossen hat.

Diese Sicherheitsanfälligkeit stellt nur dann ein Risiko dar, wenn Microsoft Internet Explorer so konfiguriert ist, dass der Zugang zu Internetressourcen über einen Proxyserver erfolgt. Benutzer, deren Browser-Konfiguration nicht die Verwendung eines Proxyservers vorsieht, sind nicht von diesem Sicherheitsrisiko betroffen.

Falls ein Angreifer diese Sicherheitsanfälligkeit ausnutzt, um auf sicheren HTTP-Datenverkehr (HTTPS-Datenverkehr) zuzugreifen, kann dieser HTTPS-Datenstrom nicht einfach im Klartext gelesen werden, da HTTPS-Datenströme mit SSL (Secure Sockets Layer) verschlüsselt sind. Daher besteht für mittels HTTPS übertragene Benutzernamen und Kennwörter ein weitaus geringeres Sicherheitsrisiko als für Informationen, die mit dem HTTP-Protokoll als Klartext gesendet werden.

Ursache

Diese Sicherheitsanfälligkeit besteht, da bestimmte Anfragen an Proxydienste in Java auf besondere Weise verarbeitet werden. Wenn Sie Internet Explorer für die Verwendung von Proxydiensten konfigurieren, könnte mit einem speziell entwickelten Java-Programm diese Sicherheitsanfälligkeit ausgenutzt werden, um Internetverkehr weiterzuleiten.

Status

Microsoft hat bestätigt, dass dieses Problem in gewissem Umfang eine Sicherheitsanfälligkeit in der Microsoft VM zur Folge haben kann. Dieses Problem wurde erstmals in Windows 2000 Service Pack 3 behoben.

Weitere Informationen

Gehen Sie folgendermaßen vor, um die Build-Nummer der VM von Microsoft auf einem Windows 98-, Windows 98 SE (Second Edition)- oder Windows Millennium Edition (Me)-Computer zu bestimmen:
  1. Klicken Sie auf Start und anschließend auf Ausführen.
  2. Geben Sie in das Feld Öffnen den Befehl command ein. Klicken Sie danach auf OK.
  3. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, und drücken Sie anschließend die EINGABETASTE:
    jview
    Beachten Sie, dass die Versionsinformationen in der ersten Zeile in der Form "Version n.nn.nnnn" angezeigt werden, wobei nnnn für die Buildnummer steht. Zum Beispiel steht 5.00.3802 für den Microsoft VM-Build 3802.
Gehen Sie folgendermaßen vor, um die Build-Nummer der VM von Microsoft auf einem Computer mit Windows NT 4.0, Windows 2000 oder Windows XP als Betriebssystem zu bestimmen:
  1. Klicken Sie auf Start und anschließend auf Ausführen.
  2. Geben Sie in das Textfeld Öffnen den Befehl cmd ein, und klicken Sie anschließend auf OK.
  3. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, und drücken Sie anschließend die EINGABETASTE:
    jview
    Beachten Sie, dass die Versionsinformationen in der ersten Zeile in der Form "Version n.nn.nnnn" angezeigt werden, wobei nnnn für die Buildnummer steht. Zum Beispiel steht 5.00.3802 für den Microsoft VM-Build 3802.

Informationsquellen

Weitere Informationen zu dieser Anfälligkeit finden Sie auf folgenden Websites von Microsoft:
http://technet.microsoft.com/en-us/security/bulletin/ms02-013

http://technet.microsoft.com/en-us/security/bulletin/ms03-011
Weitere Informationen zur Microsoft Virtual Machine finden Sie in folgendem Artikel der Microsoft Knowledge Base:
169803 INFO: Chronologische Liste der Lieferformen für Microsoft VM (Dies ist möglicherweise nur in Englisch verfügbar)
Weitere Informationen zum Support von Visual J++ und Java SDK finden Sie auf der folgenden Website von Microsoft:

Eigenschaften

Artikel-ID: 300845 - Geändert am: Donnerstag, 27. März 2014 - Version: 8.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Virtual Machine for Java, wenn verwendet mit:
    • Microsoft Windows Millennium Edition
    • Microsoft Windows 98 Standard Edition
Keywords: 
kbarchive kbqfe kbbug kbfix kbjava kbsecbulletin kbsechack kbsecurity kbsecvulnerability kbwin2000sp3fix KB300845
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com