Wie schon vorgestern berichtet, kann ein anonymer Angreifer durch eine Schwachstelle im „Java Deployment Toolkit“ mit den Rechten des Anwenders  beliebige Codes zur Anwendung bringen.

Unter Firefox empfiehlt es sich unter „Extras -> Add ons-> Plugins“ das Plugin „Java Deployment Toolkit“ zu deaktivieren.

Wer den Microsoft Internet Explorer nutzt, kann das Kill-bit setzen. Details finden Sie hier:

http://lists.grok.org.uk/pipermail/full-disclosure/2010-April/074036.html

Im Java Deployment Toolkit (JDT) ist unter Windows eine Sicherheitslücke aufgedeckt worden, durch die präparierte Webseiten beliebige Anwendungen auf einem Windows-PC starten können. Möglich wäre beispielsweise, per FTP einen Trojaner nachzuladen und zu starten. JDT ist seit Java 6 Update 10 im Lieferumfang von Java enthalten und soll Entwicklern das Verteilen von Anwendungen erleichtern. Das Problem beruhe auf der mangelnden Filterung von URLs, durch die sich beliebige Parameter an das zugrunde liegende Java Web Start (JWS) übergeben lassen.

Tavis Ormandy, der die Sicherheitslücke entdeckt hat, hat Sun (jetzt Oracle) nach eigenen Angaben über das Problem informiert. Laut seinem Bericht fand der Hersteller die Schwachstelle jedoch nicht kritisch genug, um einen Notfall-Patch außerhalb des dreimonatigen Patch-Zyklus zu veröffentlichen.

Weitere hilfreiche Hinweise gibt es hier:

http://support.microsoft.com/kb/240797