Weitere Fehler in Bildbearbeitungsroutinen von Java
Zwei Fehler erlauben nicht vertrauenswürdigen Java-Applets unter Umständen, auf Anwenderdateien zuzugreifen, beliebige Programme auszuführen und die VM abstürzen zu lassen.
- Christiane Rütten
In der Java-Laufzeitumgebung (JRE) von Sun sowie in der zugehörigen Entwicklungsumgebung (JDK beziehungsweise SDK) wurden zwei wesentliche Sicherheitsmängel entdeckt. Laut einem Hersteller-Advisory handelt es sich um zwei Schwachstellen in den Bildverarbeitungsroutinen, durch die nicht vertrauenswürdige Java-Applets unter Umständen zum einen unerlaubten Zugriff auf Anwenderdateien erhalten und beliebige Programme ausführen und zum anderen die Java-VM zum Absturz bringen können (Denial-of-Service). Betroffen von beiden Problemen sind die neueste Java-Version 6 sowie alle Vorgängerversionen auf allen Betriebssystemplattformen.
In den Versionen 6 Update 1 und 5.0 Update 11 hat Sun beide Fehler behoben. Version 1.3.1_20 behebt lediglich das Denial-of-Service-Problem. Anwender einer 1.3er-Version sollten ohnehin auf eine neuere Version aktualisieren. Für die in Entwicklerkreisen aus Stabilitätsgründen noch weit verbreitete Java-Version 1.4 stehen indes noch Updates für beide Schwachstellen aus. In der derzeit aktuellen Version 1.4.2_14 sind beide Lücken noch offen. Möglicherweise enthalten auch andere Java-Implementierungen die Fehler, etwa von IBM und Blackdown, da sie auf Sun-Java basieren. Von deren Herstellern liegen noch keine Fehlermeldungen vor.
Siehe dazu auch:
- Security Vulnerabilities in the Java Runtime Environment Image Parsing Code may Allow a Untrusted Applet to Elevate Privileges, Advisory von Sun
- Suns JDK führt Code aus Bildern aus, Meldung auf heise Security
(cr)