Neue Sicherheits-Updates für Macs
Apple beseitigt mit zwei Sammel-Updates drei kritische Schwachstellen in den Java-Laufzeitumgebungen für Macs.
Apple beseitigt mit zwei Sammel-Updates für Mac OS X 10.3.9 und 10.4.2 drei Schwachstellen in den Java-Laufzeitumgebungen für Macs. Es handelt sich um kritische Sicherheitsfehler durch die Mac-spezifischen Erweiterungen an Java von Apple -- diese fixt der Hersteller in dem zweiten Sammel-Patch selbst.
Das erste Sammel-Update hievt die Versionsstände der Java-Runtimes auf 1.3.1_16 beziehungsweise 1.4.2_09. Diese Aktualisierungen stammen von Sun und gehen einige allgemeine Java-Probleme an, die in den Releasenotes der Java-Erfinder beschrieben werden und alle Plattformen betreffen, so etwa auch Linux und Windows.
Aus dem zweiten Sammel-Patch schließt ein Update für die 1.4.2er-Version des Mac-Javas eine Lücke, durch die vorhandene Dateien überschrieben und zerstört oder neue angelegt werden können. In der 1.3.1er-Laufzeitumgebung können Java-Applets durch Mac-spezifische Erweiterungen des Java-Standards höhere Berechtigungen erhalten. Dies ist insofern kritisch, als nicht vertrauenswürdige Applets Zugriff auf erweiterte Java-Funktionen erhalten. Somit könnten sie lesend und schreibend auf die Festplatte zugreifen, Anwendungen starten oder Netzwerk-Sockets anlegen -- so ließen sich beispielsweise Schädlinge ins System einschleusen. Hier bessert Apple mit dem Sammel-Patch nach.
Das letzte Update in dem Patch-Bündel betrifft nur Versionen vor 10.4.2 des Betriebsystems und dort die Java-Umgebung 1.4.2. In dieser Konstellation existiert eine Lücke in der Laufzeitumgebung, durch die mehrere Applets den gleichen Port mit einem ServerSocket belegen können -- damit könnte eine Java-Anwendung Netzwerkverkehr abfangen, der eigentlich nicht für sie bestimmt ist.
Aufgrund der Schwere der Fehler ist ein zügiges Update anzuraten. Über den Software-Update-Mechanismus in Mac OS X sind die Sammel-Patches ebenso erhältlich wie als einzeln herunterladbare Pakete auf Apples Download-Seite.
Siehe dazu auch: (dmk)
- Java 1.3.1_16-Releasenotes von Sun
- Java 1.4.2_09-Releasenotes von Sun
- Security Advisory von Apple
- Java-Runtimes-Update von Apple
- Java-Sicherheits-Sammelpatch von Apple
- Download-Seite von Apple
