Unerlaubter Dateizugriff durch Java-LĂĽcken
Die neuen Java-Pakete von Sun beheben insgesamt acht kritische Fehler, die nicht vertrauenswürdigen Applets vollen Dateisystemzugriff mit Benutzerrechten ermöglichen.
Durch mehrere Sicherheitslücken in den Entwicklungs- und Laufzeitumgebungen von Suns Java-Implementierung können sich nicht vertrauenswürdige Applets über ihre Zugriffsrestriktionen hinwegsetzen und vollen Zugang zum Dateisystem mit den Rechten des ausführenden Nutzers erlangen. Der Hersteller veröffentlichte einige Wochen nach Herausgabe aktualisierter Versionen nun entsprechende Advisories. Demnach betreffen die Probleme sämtliche Versionen des Software Development Kits (SDK) und des Java Runtime Environments (JRE) der Serien 1.3 und 1.4, die Laufzeitumgebung Java 2 Standard Edition (J2SE) und das Java Development Kit (JDK) der aktuellen Serie 5.0 unter Windows, Solaris und Linux.
Sieben der Fehler befinden sich in der so genannten Reflection-API, mit der Java-Applikationen beispielsweise für Debugging-Zwecke Zugriff auf interne Klassen und Strukturen der ausführenden virtuellen Maschine erhalten. Eine weitere Schwachstelle, die ebenfalls vollen Dateizugriff mit Nutzerrechten ermöglicht, befindet sich in Java Web Start, das als Teil aktueller Laufzeitumgebungen die Ausführung und Verwaltung von Java-Applets erleichtert. Die genannten Probleme wurden in JDK und JRE 5.0 Update 6 sowie in den älteren SDKs und JREs der Versionen 1.4.2_10 und 1.3.1_17 behoben.
Die installierte Java-Version lässt sich mit dem Kommandozeilenbefehl java -fullversion bestimmen. Liefert der Befehl beispielsweise die Ausgabe 1.5.0_06-b05, so wurde bereits die aktuelle Version 5.0 Update 6 eingespielt. Durch den beliebigen lesenden und schreibenden Dateizugriff mit Benutzerrechten können Java-Applets von manipulierten Websites oder in E-Mails beispielsweise vertrauliche Benutzerdaten auslesen oder Hintertüren auf den betroffenen Systemen öffnen, die sich für weitere Angriffe nutzen lassen. Sun empfiehlt daher allen Anwendern ein umgehendes Upgrade auf eine fehlerbereinigte Version. Wie die Erfahrung bei älteren Java-Problemen zeigt, könnten die weit verbreiteten Implementierungen von Blackdown und IBM die Schwachstellen ebenfalls enthalten.
Siehe dazu auch: (cr)