Sicherheitslücke in Suns Java-Umgebung
Die Schwachstelle befindet sich im Entpackprogramm für JAR-Archive und lässt sich unter Umständen schon beim Ansurfen einer manipulierten Webseite ausnutzen. Ein Update behebt das Problem.
- Christiane Rütten
Sun warnt vor eine Sicherheitslücke in der Java-Laufzeitumgebung JRE. Aufgrund eines Fehlers in unpack200, dem Entpacker für Java-Archive, können Angreifer mit Hilfe manipulierter JAR-Dateien beliebigen Schadcode auf Anwender-Rechner schleusen und im Kontext des Nutzers ausführen lassen. Dies kann unter Umständen bereits beim Aufruf einer manipulierten Webseite geschehen.
Der Fehler befindet sich in Java JDK und JRE Version 5.0 Update 17 und 6 Update 12 sowie den Vorgängerversionen der beiden Serien auf Windows, Linux und Solaris. Der Hersteller weist allerdings ausdrücklich darauf hin, dass die Versionen 1.4.2 und 1.3.1 nicht betroffen sind.
Die installierte Java-Version lässt sich mit dem Kommandozeilenbefehl java -version abfragen. Unter Firefox liefert die Eingabe von about:plugins in die Adresszeile die Information; IE-Nutzer können eine spezielle Hersteller-Webseite aufrufen. Betroffene Anwender sollten möglichst bald auf die fehlerbereinigten Versionen 5 Update 18, 6 Update 13 oder eine Folgeversion aktualisieren.
Siehe dazu auch:
- Integer and Buffer Overflow Vulnerabilities in the Java Runtime Environment (JRE) "unpack200" JAR Unpacking Utility May Lead to Escalation of Privileges, Advisory von Sun
(cr)
