Update (24.11.)
Inzwischen hat heise auch einen Check für dieses Problem auf den Security-Seiten einbaut.
Ich weiß nicht, ob sie von meiner Seite (und deren Zugriffszahlen) "inspiriert" wurden ;-))). Ich nehme es mal an, da der Autor des Update-Artikels jedenfalls vorher hier war - ist aber auch egal. :-)
Ich übergebe also hiermit den Check in gute Hände und empfehle Euch den c't Browsercheck.
(Na ja, außer ein gewisses Loch darzustellen, durch das man u.U. böse Sachen durchstecken kann (oder rausholen *g*) :-)
Test getestet mit Mozilla 1.7.3 / Firefox 1.0 / IE 6.0.2900.2180.xpsp_sp2_rtm.040803-2158 *g*, alles auf Windows XP
und Java 1.4.2_01 und 1.5.0
Ach ja: Und vielen Dank für Dein blindes Vertrauen und ggfalls Deine großzügige Spende ;-)))
Infos:
- Disclaimer: Ich beanspruche keine Kompetenz als Sicherheitsexperte - ich habe einfach "mal schnell" den auf der "Full-Disclosure"-Mailingliste veröffentlichten Code eingebaut.
- Also: Wenn oben steht, daß das Java neu genug ist, bedeutet das nur, daß dieser spezielle Code nicht funktioniert hat, was nahelegt, daß das installierte Java nicht verwundbar ist. Sei es, weil es tatächlich neu genug ist - oder auch, weil es einfach gar nicht funktioniert? *g*
Was passiert genau?
- Es wird versucht, per JavaScript die Referenz auf eine Klasse anzulegen, die "eigentlich" per JavaScript nicht zugänglich sein sollte ("sun.text.Utility").
- Wenn das funktioniert, wird "got class object" angezeigt - das ist auf JEDEN FALL ziemlich schlecht. Warum, wird auf der Mailingliste beschrieben.
- Wenn es nicht funktioniert, wird "U R ok" (= you are ok = bei Dir scheinbar alles in Ordnung) angezeigt. Wie gesagt: Das heißt, daß der Exploit nicht funktioniert - aus welchem Grund auch immer!. In diesem Fall ist es sinnvoll, sich die Java-/JavaScript-Konsole anzuschauen. Wenn da etwas von einer SecurityEcxeption oder ähnliches steht, dann ist höchstwahrscheinlich alles ok. Ansonsten ist es natürlich auch möglich, daß für Euren Browser der Test ein bißchen anders aussehen müßte... Ich habe allerdings heute keine Zeit für weitere Experimente - schon gar nicht, wenn ich dafür neue Betriebssysteme und/oder Browser installieren müßte...
:-)))