Java 6 Update 17 schließt mehrere Sicherheitslücken

Durch diverse von präparierten Audio- und Bilddateien provozierte Buffer- und Integer Overflows kann ein Java-Applet oder eine "Java Web Start"-Anwendung an höhere Zugriffsrecht auf einem System gelangen.

In Pocket speichern vorlesen Druckansicht 130 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Daniel Bachfeld

Sun hat Java 6 Update 17 veröffentlicht, das unter anderem mehrere Sicherheitslücken schließt. Dazu gehören diverse von präparierten Audio- und Bilddateien provozierte Buffer- und Integer Overflows, durch die ein Java-Applet oder eine "Java Web Start"-Anwendung an höhere Zugriffsrechte auf einem System erlangen und so etwa das System infizieren kann. Durch einen Fehler im "Java Web Start"-Installer kann es passieren, dass eine nicht vertrauenswürdige Web-Start-Anwendung trotzdem als vertrauenswürdig startet und somit höhere Rechte als erlaubt erhält. Eine Schwachstelle im Java Runtime Environment Deployment Toolkit führt dazu, dass eine Webseite Code in ein System schleusen und starten kann.

Darüber hinaus hat Sun eine Schwachstelle beim Verifizieren vom HMAC-Digests entfernt, durch die sich etwa digitale Signaturen fälschen ließen. Des Weiteren soll die JRE-Update-Funktion künftig die Laufzeitumgebung auch dann aktualisieren, wenn es sich bei der Windows-Version nicht um eine englischsprachige Version handelt.

Einige der Fehler sind auch in den Java-Versionen 5.0, 1.4.x und 1.3.x zu finden. Sun empfiehlt dort das Update auf die Versionen 5.0 Update 22, 1.4.2_24 beziehungsweise 1.3.1_27. Alle drei haben aber den End of Life (EOL) bereits erreicht beziehungsweise überschritten. Für Version 5 ist Update 22 die letzte Aktualisierung. Sun empfiehlt daher allen Anwendern, auf Version 6 zu wechseln, um auch weiterhin Sicherheits-Updates zu erhalten.

Siehe dazu auch:

(dab)