Wow, das ist heftig. Durchgriffe durch die Sandbox hat man ja schon ab und an gezeigt bekommen, aber das ein unsigniertes Java-Applet auf die Floppy zugreifen kann, ist definitiv ein Zeichen von Unsicherheit die auch kritische Ausmaße annehmen kann. Das ist schon ein recht heftiger Schlag für die Sicherheit von Java. Aber es ist letzten Endes nicht verwunderlich: auch wenn die virtuelle Maschine in der Spezifikation davon ausgeht das die Sandbox sicher ist, dahinter stecken eben immer Implementationen, die durchaus Fehler auf Java-Ebene oder sogar auf realer Maschinenebene (in der Implementierung der virtuellen Maschine selber) haben können.
Und das der Rechner nach dem Applet dann rebootet werden musste, und das ein Zugriff auf physikalische Medien möglich ist, deutet darauf hin, das hier ein so tiefgehendes Implementationsproblem vorliegt.
Techniken werden eben nicht einfach nur durch Spezifikation und Behauptung sicher ...
Bei heise online news gibts den Originalartikel.
