Лазейка в Java Development Kit 1.1.1
Сотрудники Принстонского университета обнаружили в системе защиты комплекта разработчика JDK 1.1.1 и браузера HotJava 1.0 компании Java Soft лазейку, открывающую жульническим Java-аплетам доступ к ресурсам компьютера.
Дыра в защите связана с работой последних версий JDK и HotJava с подписанными Java-аплетами, которые могут выполняться вне защищенной Java-среды, более известной как Java-“песочница”.
По сообщению исследователей из Принстонского университета, слабое место в функции кода-подписи JDK 1.1.1 позволяет жульническим аплетам получить данные обо всех цифровых подписях, известных системе локального компьютера, и определить, каким из этих подписей “доверяют”, а затем скопировать их или пометить себя как подписанный доверенный аплет.
В начале мая JavaSoft выпустила “заплату” для всех лицензированных пользователей Java; постоянное исправление будет включено в выходящий в середине мая JDK 1.1.2.
Представители JavaSoft утверждают, что дыра в защите не повлияет на пользователей браузеров корпораций Netscape Communications или Microsoft, так как ни один из них еще не поддерживает API подписи кода, который является частью JDK 1.1.
Пользователи браузера HotJava могут защититься от проникновения в свои системы злонамеренных аплетов, ограничив или отключив функцию подписи аплетов с помощью средств администрирования браузера. JavaSoft включит исправление для HotJava в окончательную версию, поставка которой начнется в июне.
Для получения более подробной информации обращайтесь по адресу: http://www.javasoft.com или на университетский узел: http://www.cs.princeton. edu/sip/News.html.
РАЗРАБОТКА ПРИЛОЖЕНИЙ