Apple stopft Lücken in Java für Mac OS X
Unter anderem konnten sich nicht-vertrauenswürdige (untrusted) Applets über die Zugriffsrestriktionen hinwegsetzen und vollen Zugang zum Dateisystem mit den Rechten des ausführenden Nutzers erlangen.
Mehr als zwei Monate hat sich Apple Zeit gelassen, um mehrere kritische Lücken in der Java-Version für Mac OS X v10.4.5 und Mac OS X Server v10.4.5 zu schließen. Nicht-vertrauenswürdige (untrusted) Applets konnten sich über die Zugriffsrestriktionen hinwegsetzen und vollen Zugang zum Dateisystem mit den Rechten des ausführenden Nutzers erlangen. Die Fehler finden sich in der so genannten Reflection-API, mit der Java-Applikationen beispielsweise für Debugging-Zwecke Zugriff auf interne Klassen und Strukturen der ausführenden virtuellen Maschine erhalten.
Eine weitere Schwachstelle, die ebenfalls vollen Dateizugriff mit Nutzerrechten ermöglicht, befindet sich in Java Web Start, das als Teil aktueller Laufzeitumgebungen die Ausführung und Verwaltung von Java-Applets erleichtert. Apple liefert mit dem Update die Java 2 Standard Edition 1.5.0_06 aus, in der die Fehler behoben sind. Zusätzlich hat der Hersteller eine weitere Schwachstelle in den Java InputMethoden behoben, durch das unter Umständen Tastatureingaben etwa für geschützte Passworteingabefelder im Klartext zu sehen waren.
Siehe dazu auch: (dab)
- About the security content of J2SE 5.0 Release 4, Fehlerbeschreibung von Apple
