Új javítás a Microsoft VM-hez

Elérhetõ a Microsoft VM újabb verziója, ami a korábbi javítások mellett nyolc újonnan jelentett biztonsági rést is befoltoz.

A támadási felület mind a nyolc esetben ugyanaz. A támadó létrehoz egy weblapot, melyet egy szerveren helyez el vagy levélben küldi el. Megnyitása esetén a weblapon elrejtett kód az alábbi biztonsági réseket használja ki:

- A nem megbízható Java kisalkalmazások COM objektumokat érhetnek el.
- A támadó megváltoztathatja a Java kisalkalmazás aktuális helyét. A Java kisalkalmazások az aktuális és az aktuális alatt lévõ könyvtárakra olvasási joggal rendelkeznek.
- A támadó létrehozhat egy URL-t, ami betölt egy Java kisalkalmazást egy adott honlapról. A rendszer azonban ezt úgy értelmezi, mintha a kisalkalmazás egy másik helyrõl származna.
- A VM nem akadályozza, hogy a kisalkalmazások meghívják a JDBC API-kat. A támadó ezeken az API-kon keresztül a felhasználó jogosultságába tartozó adatbázisokat változtathatja meg.
- A támadó ideiglenesen megakadályozhatja egyes Java kisalkalmazások futását.
- A támadó megtudhatja a felhasználó felhasználónevét.
- A támadó rosszul meghívva egy másik Java kisalkalmazást, az azt tartalmazó alkalmazás hibás mûködését okozhatja.