Java 6 Update 19 schließt 26 Sicherheitslücken
Mehrere der Lücken lassen sich ausnutzen, um einen PC zu kompromittieren. Erstmals nach der Übernahme von Sun durch Oracle erscheint ein Java-Fehlerbericht im Gewand von Oracles Berichten für Critical Patch Updates.
- Daniel Bachfeld
Sicherheits-Updates für Java SE und Java Business schließen insgesamt 27 Sicherheitslücken. Ungewohnt: Erstmals nach der Übernahme von Sun durch Oracle erscheint ein Java-Fehlerbericht im Gewand von Oracles Berichten für Critical Patch Updates. Das macht das Lesen erheblich übersichtlicher und durch die Angabe des Common Vulnerability Scoring System (CVSS) die Einschätzung leichter, wie kritisch eine Lücke ist und mit welcher Priorität sie geschlossen werden sollte.
Bei den Lücken handelt es sich unter anderem um Buffer Overflows in der Java-Laufzeitumgebung (JRE), in ImageIO, Java 2D, Web Start, dem Plug-in für Browser, Sound sowie dem Hotspot Server. Betroffen sind Java 6 Update 18, Java 5.0 Update 23, Java 1.4.2_25 und Java 1.3.1_27 sowie jeweils vorhergehende Versionen, wobei nicht jeder Fehler in jeder Version zu finden ist.
Oracle hat JDK und JRE 6 Update 19 für Windows, Solaris und Linux, JDK 5.0 Update 24 für Solaris und SDK 1.4.2_26 für Solaris zum Download bereitgestellt, in denen die Lücken beseitigt sind. Version 1.3.1 wird nicht mehr unterstützt. Oracle empfiehlt, die Updates so schnell wie möglich zu installieren. Daneben korrigieren die Updates weitere, nicht sicherheitsrelevante Fehler und schalten bis zum nächsten Update TLS-Renegotiation aus Sicherheitsgründen ab.
Siehe dazu auch:
- Oracle Java SE and Java for Business Critical Patch Update Advisory, Bericht von Oracle
- Oracle Java Runtime Environment Image FIle Buffer Overflow Vulnerability, Bericht von iDefense
(dab)
