Oracle schließt gravierende Java-Lücken
Sechs der mit dem heutigen Update für JavaSE behobenen Sicherheitslücken bewertet Oracle mit dem höchsten möglichen Gefährdungsgrad. Sie ermöglichen Angriffe ohne Authentifizierung über das Netz. Für Mac OS X bietet Apple dieses Update an.
- Christian Kirsch
JavaSE-Nutzer sollten so bald wie möglich ihre JDK- und JRE-Pakete aktualisieren, empfiehlt Oracle in den Erklärungen zu seinem heutigen Update. Es behebt 14 Sicherheitslücken, von denen 6 als besonders schwerwiegend eingestuft sind: Sie erlauben Angriffe über das Netz ohne vorherige Authentifizierung.
Zu den Details macht Oracle selbst nur wenige Angaben. Die sechs Bugs betreffen offenbar Web-Start-Anwendungen und Java-Applets, die als nicht vertrauenswürdig eingestuft sind – etwa weil sie ohne Zertifikat ausgeliefert werden oder weil die Zertifikatsprüfung gescheitert ist. Eine der Lücken könne auch, so heißt es weiter, durch das Weiterreichen von Daten an Java-APIs ausgenutzt werden, etwa per Web Service.
Mehr Informationen hält der Linux-Anbieter Red Hat in seiner Fehlerdatenbank bereit. Der jetzt beseitigte Bug CVE 2012-1723 betrifft demzufolge den Java-Hotspot-Compiler, der die Zugriffsrechte für Klassen- und Objektattribute nicht immer prüft. Dadurch könne eine spezielle Klassendefinition unter Umständen die Grenzen der Java-Sandbox durchbrechen. Die unter CVE 2012-1713 zusammengefassten Lücken finden sich im nativen Code für den Fontmanager. Eine manipulierte Schriftdatei könne dadurch die JVM abstürzen lassen oder ihren Speicherbereich so manipulieren, dass die virtuelle Maschine beliebigen Code mit ihren Rechten ausführe.
Der in der GUI-Bibliothek Swing beseitigte Bug CVE 2012-1716 hätte durch unkontrollierten Zugriff auf bestimmte Bedienelemente ebenfalls die JVM abstürzen lassen können oder das Umgehen Sandbox-Einschränkungen ermöglicht. Dieselben Folgen hat auch CVE 2012-1711 in der CORBA-Implementierung (Common Object Broker Request Architecture).
Das Update betrifft die JavaSE-Versionen 7 (Update 4 und früher), 6 (Update 32 und früher), 5 (Update 35 und früher) sowie 1.4.2_37 und früher sowie JavaFX 2.1 und früher. Es steht bei Oracle für Linux, Solaris und Windows zum Herunterladen bereit.
Für Mac OS X 10.6 und 10.7 bietet Apple ebenfalls eine aktuelle Version von Java 6 an – sie erscheint damit erstmals seit längerem gleichzeitig mit der Windows-Version. Wer auf dem Mac Java 7 aktualisieren möchte, muss aber Oracles Server bemühen, da Apple selbst Java 7 nicht anbietet. Das Apple-Update integriert eine neue Funktion, die das Java-Plug-in automatisch deaktiviert, wenn für eine gewisse Dauer keine Applets gelaufen sind.
Siehe dazu auch:
- Java Runtime Environment (JRE) im heise Software-Verzeichnis
- Java Standard Edition (Java SE / JDK) im heise Software-Verzeichnis
(ck)
