Schwachstelle in Suns JRE 5.0 [Update]
Durch einen Fehler können nicht vertrauenswürdige Applets auf die Daten anderer Applets zugreifen.
- Daniel Bachfeld
Sun weist in einer Sicherheitswarnung auf eine Schwachstelle in JDK und JRE 5.0 hin, durch die nicht vertrauenswürdige Applets auf die Daten anderer Applets zugreifen können. Insbesondere wenn der Anwender gerade mehrere Webseiten besucht, die Applets benutzen, könnten Angreifer über einen manipulierten Webserver Informationen ausspähen. Beispielsweise nutzen einige Banken Java-Applets für HBCI.
Laut Sun beruht das Problem auf einem Fehler in der Swing-Bibliothek der Java Runtime Environment (JRE) und ist dort bis einschließlich Update 7 für Solaris, Linux und Window zu finden. Ab Update 8 ist der Fehler beseitigt, aktuell ist mittlerweile bereits Update 9. Anwender sollten ihre Java-Version überprüfen und gegebenenfalls aktualisieren – auch wenn das automatische Java-Update standardmäßig im Hintergrund mitläuft, zeigt sich oft, dass die Version nicht auf dem neuesten Stand ist. Mit java -version lässt sich die benutzte Version anzeigen.
Da Java-Updates in der Regel eine vollständig neue Version installieren, ohne die vorherige zu löschen, müssen die alten verwundbaren Versionen per Hand deinstalliert werden. SDK und JRE 1.4.2_xx und vorherige sowie 1.3.1_xx und vorherige sind nicht betroffen.
Update
Aktuell ist im Sun Developer Network sogar bereits Update 10 verfügbar.
Siehe dazu auch:
- A Security Vulnerability in the Java Runtime Environment Swing Library may Allow an Untrusted Applet to Access Data in Other Applets, Fehlerbericht von Sun
(dab)
