Suns Java Virtual Machine lässt sich Code aus GIFs unterjubeln

Ein Fehler in der Java Virtual Machine von Sun lässt sich ausnutzen, um über präparierte GIF-Bilder Code auf ein System zu schleusen und auszuführen. Nach Angaben der Zero Day Initiative (ZDI) provoziert ein GIF-Bild mit der Breite 0 in einem Image-Block einen Überlauf, was zu diversen fehlerhaften Pointern führt. Wenigstens einer davon lässt sich laut Fehlerbericht missbrauchen, um den Speicher gezielt zu manipulieren. Darüber kann ein nicht vertrauenswürdiges Applet seine Privilegien erhöhen, um Zugriff auf sämtliche Ressourcen des Systems zu erhalten. Ein Anwender muss allerdings eine bösartige Webseite besuchen, um angegriffen zu werden. In der Regel genügt es dem Angreifer oftmals aber schon, dem Opfer einen vermeintlich interessanten Link per Mail zu schicken, um dies zu erreichen.

Betroffen sind JDK und JRE 5.0 Update 9 und vorhergehende, SDK und JRE 1.4.2_12 sowie vorhergehende und SDK und JRE 1.3.1_18 sowie frühere Versionen auf Windows, Solaris und Linux. In den seit Ende Dezember verfügbaren Versionen JDK/JRE 5.0 Update 10, SDK/JRE 1.4.2_13 und SDK/JRE 1.3.1_19 sind die Fehler behoben. Zu beachten ist, dass Java-Updates in der Regel eine vollständig neue Version installieren, ohne die vorherige zu löschen. Anwender müssen die alten verwundbaren Versionen also per Hand deinstallieren.

Siehe dazu auch:

• Security Vulnerability in Processing GIF Images in the Java Runtime Environment May Allow an Untrusted Applet to Elevate Privileges, Fehlerbericht von Sun
• Sun Microsystems Java GIF File Parsing Memory Corruption Vulnerability, Fehlerbericht von ZDI

(dab)