Laut Heise haben 3 findige Sicherheitsspezialisten eine Methode entwickelt um ein Bild (GIF) mit einer Java-Klasse (JAR) zu kombinieren.
Läd ein Besucher einer Website ein solches Bild, wird es nicht einfach nur angezeigt, sondern im Hintergrund die JVM (Java Virtual Machine) gestartet und mit dieser das eingebaute Applet ausgeführt.
Somit ist es möglich, z.B. Login-Daten abzugreifen ohne das der Besucher der Website es bemerkt.
Ein normaler Sicherheitsfilter hat keine Chance gegen diese neue Methode.
Dieser überprüft meist nur auf die Endung der hochgeladenen Datei und das wäre in diesem Falle .gif.
Gerade Social Networks wie StudiVZ oder Xing sind dadurch sehr anfällig und könnten ausgenutzt werden um in kürzester Zeit viele User anzugreifen.
Die Methode lässt sich auch auf JPEG oder DOC Dateien ausweiten, Sun hat aber schon angekündigt, dass es ein Patch für die JVM geben wird um den Missbrauch zu unterbinden.
