| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 8.1 | $0-$5k | 0.00 |
Java ist eine von Sun entwickelte plattformunabhängige Programmiersprache und nicht mit Java-Script zu vergleichen. Die Plattformunabhängigkeit wird dadurch erreicht, dass der kompilierte Programmcode zur Laufzeit interpretiert wird. Sehr gern wird Java auf Webseiten genutzt. Um den Missbrauch und erweiterte Rechte durch ein Java-Applet zu verhindern, wird dieses in einer sogenannten Sandbox ausgeführt. In dieser werden die Zugriffe auf Systemressourcen und Ressourcen anderer Benutzer oder Programme eingeschränkt oder gar verhindert. Marc Schoenefeld publizierte auf Bugtraq eine Schwachstelle, die aufzeigt, dass dieses Sandbox-Modell umgangen und auf den Speicher anderer Java-Applets zugegriffen werden kann. Dadurch liesse sich Programmcode einschleusen oder Denial of Service-Zugriffe bei anderen Applets provozieren. Zusammen mit dem Bugtraq-Posting kamen zwei HTML-Quelltexte, die das Problem illustrieren. Als Workaround wird empfohlen bis auf weiteres auf das Nutzen von Java zu verzichten. Zusätzliche Informationen finden sich unter computec.ch.
Dieses Problem zeigt einmal mehr auf, wie undurchdacht Java und seine Implementation sind. Der Skeptizismus gegenüber dieser plattformunabhängigen Sprache ist also auch weiterhin nachvollziehbar. Der aufgezeigte Angriff ansich ist jedoch eher nur in der Theorie sinnvoll. In der Praxis wird sich wohl kaum eine Situation finden lassen, in der mit realistischem Aufwand aus den Gegebenheiten ein Vorteil erlangt werden kann. Denial of Service-Zugriffe werden wahrscheinlich das höchste der Gefühle für Skript-Kiddies sein.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Support
- end of life
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 8.6VulDB Meta Temp Score: 8.1
VulDB Base Score: 8.6
VulDB Temp Score: 8.1
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Erweiterte RechteCWE: CWE-269 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Proof-of-Concept
Download: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: DisableStatus: 🔍
0-Day Time: 🔍
Patch: java.sun.com
Timeline
20.10.2003 🔍20.10.2003 🔍
20.10.2003 🔍
21.10.2003 🔍
31.12.2003 🔍
25.10.2007 🔍
20.11.2009 🔍
26.06.2019 🔍
Quellen
Hersteller: oracle.comAdvisory: securityfocus.com⛔
Person: Marc Schoenefeld
Status: Nicht definiert
CVE: CVE-2003-1516 (🔍)
SecuriTeam: securiteam.com
SecurityFocus: 8857 - Sun Java Cross-Site Applet Sandbox Security Model Violation Vulnerability
Secunia: 10051 - Sun Java Cross Site Static Variable Access, Not Critical
OSVDB: 60412 - Sun Java Plug-in org.apache.xalan.processor.XSLProcessorVersion Class Unsigned Applet Variable Sharing Privilege Escalation
TecChannel: 1310 [404 Not Found]
Diverses: 🔍
Eintrag
Erstellt: 21.10.2003 12:33Aktualisierung: 26.06.2019 18:37
Anpassungen: 21.10.2003 12:33 (73), 26.06.2019 18:37 (1)
Komplett: 🔍
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.