Een Duitse onderzoeker heeft een onvolkomenheid ontdekt in de Java Virtual Machine (JVM) van Microsoft. Sommige deskundigen spreken inmiddels van een echt beveiligingslek.
Het probleem steekt de kop op in recente versies van de JVM voor Windows, dat wordt gebruikt in programma’s als Internet Explorer, Microsoft Outlook en het e-mailprogramma Eudora. De Duitse onderzoeker Karsten Sohr, verbonden aan de universiteit van Marburg (in de deelstaat Hessen), meldt de fout gevonden te hebben in de bytecode-verifieerder van JVM. De storing maakt het mogelijk dat een codereeks wordt samengesteld die de waarden van het ene Java-type incorrect overzet in de waarden van een ander type. De verifieerder is er juist om dergelijke foute omzettingen op tijd te ondervangen.
De fout is te misbruiken door kwaadwillende hackers, die door een agressieve applet op de JVM los te laten, toegang kunnen krijgen tot vertrouwelijke gegevens en zelfs in staat zijn bestanden te manipuleren en te wissen op de computer van een nietsvermoedend slachtoffer. Dat stellen onderzoekers van het Amerikaanse bedrijf Reliable Software Technologies en van het Safe Internet Programming Team van de universiteit van Princeton. Zij hebben de bevindingen van Karsten Sohr nader onderzocht.
Microsoft zegt inmiddels druk bezig te zijn met de ontwikkeling van een reparatieprogramma. Hoewel bij de software-onderneming uit Redmond nog geen gevallen bekend zijn van getroffen gebruikers, zegt zij alle mogelijke beveiligingslekken serieus te nemen. Verontruste gebruikers worden op de hoogte gehouden via Microsofts Java-website.
