Sun liefert Details zu Sicherheitslücken in Java

Sun rückt mit einiger Verspätung Details zu Lücken in Java heraus, die bereits in JDK 5.0 Version 9 geschlossen wurden. Verfügbar ist allerdings seit Kurzem schon Update 10. Sun bleibt damit seiner Strategie treu, auf Fehler erst dann hinzuweisen, wenn die Software mindestens mit einer Versionsnummer höher als bei der fehlerbereinigten Version verfügbar ist.

Unter anderem sind zwei Buffer Overflows im Java Runtime Environment (JRE) beseitigt, über die nicht vertrauenswürdige Applets Zugriff auf Systemressourcen erhielten konnten und etwa beliebige Dateien mit den Rechten des Anwenders lesen, schreiben und ausführen konnten. Zwei weitere Fehler in der Serialisierung der JRE führten ebenfalls dazu, dass ein Applet seine Rechte erhöhen konnte. Schließlich ist es über zwei Schwachstellen möglich, dass ein Applet auf die Daten eines anderen Applets zugreifen kann. Die Fehler sind auch in den DK- und JRE-Versionen bis 1.4.2_12 zu finden, teilweise auch bis 1.3.1_18. Hierfür stehen ebenfalls Updates (1.4.2_13 und 1.3.1_19) bereit.

Wer noch nicht auf die aktuellen Versionen aktualisiert hat, sollte die Warnungen von Sun nun zum Anlass nehmen. Zu beachten ist allerdings, dass Java-Updates in der Regel eine vollständig neue Version installieren, ohne die vorherige zu löschen. Anwender müssen die alten verwundbaren Versionen also per Hand deinstallieren.

Siehe dazu auch:

• Security Vulnerabilities Related to Serialization in the Java Runtime Environment may Allow Untrusted Applets to Elevate Privileges, Fehlerbericht von Sun
• Security Vulnerabilities in the Java Runtime Environment may Allow an Untrusted Applet to Access Data in Other Applets, Fehlerbericht von Sun
• Security Vulnerabilities in the Java Runtime Environment may Allow Untrusted Applets to Elevate Privileges and Execute Arbitrary Code, Fehlerbericht von Sun

(dab)