Sicherheitslücken in der JVM-Sandbox?

K

konrad

0
Hallo Leute,

ich schreibe derzeit an meiner Diplomarbeit und möchte unter Anderem die Sicherheit der JVM-Sandbox (Java 2 Virtual Machine) auf dem Betriebssystem Windows 2000 und XP untersuchen. Dabei soll auch ein Angriffstest durchgeführt werden.

In vielen News ist zu lesen, dass es möglich sei, die Sandbox zu durchbrechen. Man schreibt von unsignierten Applets, die als vertrauenswürdig eingestuft werden und dann ausbrechen. Wie kann das theoretisch ablaufen?

Ich weiß, dass das Thema heikel ist. Ich habe keine Hacker-Ambitionen, sondern möchte nur meine Diplomarbeit so gut wie möglich hinbekommen. Ein Test wäre das i-Tüpfelchen.

Noch eine Frage: Folgende JVM´s habe ich näher recherchiert:
-Sun Java VM,
-IBM Java VM,
-BEA JRockit,
-Microsofts Java VM.

Welche Vor- und Nachteile kennt Ihr aus eigener Erfahrung? Will man den Beschreibungen der Software-Hersteller glauben, sind ja alle ganz toll und danz sicher. Ihr würdet mir helfen, einen (wenn auch kleinen) Kriterienkatalog zu erstellen (auch für die DA).

Besten Dank schon jetzt!

konrad
 
was hast du eigentlich vor?
was soll deine DA zeigen?
und warum läßt du bekannte JVM aus, wie zB waba und blackdown?
und warum untersuchst du ein Konstrukt, bei dem platformunabhängigkeit zum Konzept gehört, auf nur 2 Betriebssystemprodukten?
und was soll eine Angriffstest sein, ein genetisches Programm, das plötzlich ausbricht?
was hast du vor, eine neue JVM designen und implementieren? bei existierenden JVM eine code inspection machen? nach priviledge escalation googlen und testen, welche exploits noch bei aktuellen Produkten (Microsoft hat übrigens kein aktuelles Produkt mehr) noch funktionieren?
ich seh einfach nicht, wie man da eine DA draus machen kann
 
Hallo hamill,

danke für deine schnelle Antwort und die vielen Fragen. Das Thema umfasst die Untersuchung der IT-Sicherheit von Java 2 Virtual Machines unter Windows 2000 und Windows XP. Ich möchte also keine neue JVM designen, dazu wäre ich nicht in der Lage. Ich möchte ganz einfach auf Sicherheitsmerkmale und Sicherheitsrisiken eingehen und anhand eines kleinen Programmes ein Sicherheitsrisiko demonstrieren.

Ich habe viele, viele Stunden nach JVMs gegoogelt und habe nichts über Waba oder Blackdown gefunden. Hättest du ein paar Links für mich?

Besten Gruß

konrad
 
http://waba.sourceforge.net/
http://blackdown.org/

Waba ist ne JVM, die eine Handvoll Leute selber geschrieben haben, weil ihnen die Sun JVM nicht genügte (möglicherweise wegen Sicherheitsmängel :-)
und wurde mittlerweile eingestellt, zumindest innerhalb der Firma, in der die Entwickler damals arbeiteten.

blackdown ist eine JVM für iA32 Linux, die entstand, als es noch kein Java für Linux gab.

Aber frag mich nicht nach Java, so gut kenn ich mich damit nicht aus.
google doch einfach mal, nach
http://www.google.de/search?q=jvm+sandbox+vulnerability&hl=de&lr=&c2coff=1&start=10&sa=N
jvm sandbox vulnerabilty
oder jvm sandbox exploit.
Da kommen bei google schon ein paar Treffer. Ob das jetzt exhte Meldungen oder nur Fragen, ob das jetzt systematische Fehler oder nur Fehler in den Implementationien sind, weiß ich nicht, da ich wiegesagt kaum Java mache, und um alles zu Lesen bräuchte man ein paar Stunden :-)

> Ich möchte also keine neue JVM designen, dazu wäre ich nicht in der Lage
weiß ich ja nicht, und das Generic Java ist ja auch an einer Uni entstanden, vielleicht kommst du ja aus einer solchen Gruppe :-)

soviel dazu. schau dir die links an bzw google mal, mit den richtigen Stichworten (verifier, exploit, ..)
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben