Kritische Sicherheitslücken in Suns Java Web Start und Java-Runtime [Update]

Anwender, auf deren Systemen Suns Java Runtime Environment oder Java Web Start läuft, sollten schleunigst ein Update installieren. Durch eine kritische Sicherheitslücke können manipulierte "untrusted" Applets und JLNP-Dateien die Sicherheitsrestriktionen umgehen und auf beliebige Dateien lesend und schreibend zugreifen. Auch das Starten bereits anderer installierter Anwendungen ist möglich.

Web-Server können den PC so beim Aufruf einer Seite mit Schadcode infizieren. Die Zugriffe erfolgen jeweils im Kontext des angemeldeten Anwenders. Nähere Angaben macht Sun zu den Lücken nicht. Eine ähnlich kritische Lücke in Web Start gab es bereits im März dieses Jahres.

Betroffen sind diesmal Java 2 Platform, Standard Edition(J2SE) 5.0 und 5.0 Update 1 für Windows, Solaris und Linux, J2SE 1.4.2_07 und vorhergehende Versionen für Windows, Solaris and Linux sowie Java Web Start in Java 2 Platform Standard Edition (J2SE) 5.0 und 5.0 Update 1 für Windows, Solaris and Linux. Nicht betroffen sind sämtliche J2SE 1.3.1_xx-Versionen, Java Web Start vor 5.0 und Java Web Start 1.0.1_02 einschließlich der vorhergehenden Versionen. Die Linux-Portierung J2SE 1.4 des Blackdown-Teams ist bis einschließlich Version 1.4.2-01 ebenfalls verwundbar.

Die Lücken sind seit Version 5.0 Update 2 für Web Start und die Runtime Environment beseitigt -- verfügbar ist bereits Update 3. Für den 1.4.2-Zweig behebt J2SE 1.4.2_08 das Problem. Alternativ können Anwender die Lücke in Web Start auch beheben, indem sie die Verknüpfung mit JNLP-Dateien lösen. Wie man das macht, beschreibt Sun in dem Advisory Security Vulnerability With Java Web Start.

Siehe dazu auch: (dab)

• Security Vulnerability With Java Runtime Environment May Allow Untrusted Applet to Elevate Privileges, Fehlerreport von Sun
• Security Vulnerability With Java Web Start, Fehlerreport von Sun
• Blackdown Java-Linux Security Advisory, Fehlerreport des Blackdown-Teams